proton ransomware King зашифровал файлы организации

16 часов назад

Добрый день!

В локальную сеть попал шифровальщик. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.

К сожалению пока не удалось понять, как он попал и где нахоится источник(.
Но сегодня ночью, по времени - все файлы оказались зашифрованы.

Прикладывают файлы, согласно правилам зашифрованные файлы + требования.rar

Подскажите пож-та
1. Как найти источник заражения, сам шифровальщик, какие есть методы
2. Как можно дешифровать данные файлы

Спасибо большое!

16 часов назад

По логам FRST не увидел следов шифрования. Ни зашифрованных файлов, ни записок о выкупе нет в логах, кроме логов работы дешифраторов, которые запускались очевидно все подряд. Это не поможет. Вначале надо определить тип шифровальщика. А затем уже искать подходящий дешифратор если он есть в природе.

Возможно запуск был на другом устройстве, а на этом были зашифрованы только общие папки.

----------

Шифрование было только на этом устройстве, или на других тоже есть?

Источник шифрования надо искать там, где файлы зашифрованы по всему диску, а не только в расшаренных папках.

Изменено 16 часов назад пользователем safety

16 часов назад

2 часа назад, safety сказал:

@Лариса B,

создайте отдельную тему в данном разделе с примером зашифрованных файлов, с запиской о выкупе, с логами FRST.

Отвечу в ней на все ваши вопросы. Таковы наши правила: для каждого случая с шифрованием - отдельная тема.

Сорри, прикладываю

В локальной сети, несколько серверов. Есть расшаренные папки, к которым сотрудники могут получить доступ по smb.

Addition.rar

вот что еще удалось найти

Downloads.rar

Изменено 16 часов назад пользователем Лариса B

15 часов назад

На этот устройстве (откуда логи из архива Addition.rar, точно был запуск шифровальщика.

обращаю внимание, что сэмпл шифровальщика мог быть заражен вирусом Neshta, поэтому после очистки в FRST, следует так же его пролечить с помощью KasperskyRescueDisk

По очистке в FRST:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Avaya IX Workplace] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by trust
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: king_ransom1@mailfence.com
2024-12-28 00:43 - 2024-12-28 00:43 - 006052662 _____ C:\ProgramData\9A91446B62C6B29442333ACAE9008B6E.bmp
2024-12-27 23:37 - 2024-12-28 16:41 - 000041472 _____ C:\Windows\svchost.com
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\Downloads\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\Documents\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\Desktop\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\AppData\Local\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\Downloads\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\Documents\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\Desktop\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\AppData\Roaming\Microsoft\Windows\Start Menu\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\AppData\Local\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\Public\Downloads\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\Public\Documents\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\Public\Desktop\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\Public\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\ProgramData\Microsoft\Windows\Start Menu\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\ProgramData\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Program Files\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Program Files (x86)\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\#Read-for-recovery.txt
2024-12-27 23:35 - 2024-12-27 23:37 - 000000000 ____D C:\Users\user.308-8\Desktop\x64-Release
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 15 часов назад пользователем safety

15 часов назад

спасибо делаем, скажите пож-та есть шансы - способы расшифровать ?)

15 часов назад

Пока жду результат с карантином, надо убедиться, что это Proton.

15 часов назад

готово

ссылка удалена, файл скчал.

Fixlog.txt

Изменено 15 часов назад пользователем safety
файл загружен, ссылка удалена

15 часов назад

Да, это Proton.

Сэмпл заражен Neshta,

https://virusscan.jotti.org/ru-RU/filescanjob/jmniykqvac

поэтому необходимо пролечить систему с загрузочного KRD, ссылка на скачивание образа диска дал выше.

Это сэмпл, очищенный от Neshta.

Видим, что это действительно Proton

ESET-NOD32 A Variant Of Win64/Filecoder.Proton.A

https://www.virustotal.com/gui/file/6f7c8adc0cb4be82c2724f6831398a39654e62e6f13a0667f7522e5d96fdccee/details

Изменено 15 часов назад пользователем safety

15 часов назад

есть шансы - молю?

15 часов назад

Проверьте ЛС

proton ransomware King зашифровал файлы организации

Рекомендуемые сообщения

Лариса B

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Лариса B

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Лариса B

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Лариса B

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Лариса B

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum