proton ransomware King зашифровал файлы организации

[Лариса B]

 

Добрый день!

В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.

К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

Подскажите пож-та 
1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
2. Как можно дешифровать  данные файлы 

 

Спасибо большое!

[safety]

По логам FRST не увидел следов шифрования. Ни зашифрованных файлов, ни записок о выкупе нет в логах, кроме логов работы дешифраторов, которые запускались очевидно все подряд. Это не поможет. Вначале надо определить тип шифровальщика. А затем уже искать подходящий дешифратор если он есть в природе.

 

Возможно запуск был на другом устройстве, а на этом были зашифрованы только общие папки.

----------

Шифрование было только на этом устройстве, или на других тоже есть?

Источник шифрования надо искать там, где файлы зашифрованы по всему диску, а не только в расшаренных папках.

Изменено 28 декабря, 2024 пользователем safety

[Лариса B]

  28.12.2024 в 11:35, safety сказал:

@Лариса B,

создайте отдельную тему в данном разделе с примером зашифрованных файлов, с запиской о выкупе, с логами FRST.

Отвечу в ней на все ваши вопросы. Таковы наши правила: для каждого случая с шифрованием - отдельная тема.

Expand  

Сорри, прикладываю  

В локальной сети,  несколько серверов. Есть расшаренные папки, к которым сотрудники  могут получить доступ по smb. 

 

Addition.rarПолучение информации...

 

 

вот что еще удалось найти  

Downloads.rarПолучение информации...

Изменено 28 декабря, 2024 пользователем Лариса B

[safety]

На этот устройстве (откуда логи из архива Addition.rar, точно был запуск шифровальщика.

обращаю внимание, что сэмпл шифровальщика мог быть заражен вирусом Neshta, поэтому после очистки в FRST, следует так же его пролечить с помощью KasperskyRescueDisk

 

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Avaya IX Workplace] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by trust
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: king_ransom1@mailfence.com
2024-12-28 00:43 - 2024-12-28 00:43 - 006052662 _____ C:\ProgramData\9A91446B62C6B29442333ACAE9008B6E.bmp
2024-12-27 23:37 - 2024-12-28 16:41 - 000041472 _____ C:\Windows\svchost.com
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\Downloads\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\Documents\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\Desktop\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\AppData\Local\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\Downloads\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\Documents\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\Desktop\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\AppData\Roaming\Microsoft\Windows\Start Menu\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\AppData\Local\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\Public\Downloads\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\Public\Documents\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\Public\Desktop\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\Public\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\ProgramData\Microsoft\Windows\Start Menu\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\ProgramData\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Program Files\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Program Files (x86)\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\#Read-for-recovery.txt
2024-12-27 23:35 - 2024-12-27 23:37 - 000000000 ____D C:\Users\user.308-8\Desktop\x64-Release
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 28 декабря, 2024 пользователем safety

[Лариса B]

спасибо делаем,  скажите пож-та есть шансы - способы расшифровать ?) 

 

[safety]

Пока жду результат с карантином, надо убедиться, что это Proton.

[Лариса B]

готово 

 

ссылка удалена, файл скчал.

Fixlog.txtПолучение информации...

Изменено 28 декабря, 2024 пользователем safety
файл загружен, ссылка удалена

[safety]

Да, это Proton.

Сэмпл заражен Neshta,

https://virusscan.jotti.org/ru-RU/filescanjob/jmniykqvac

поэтому необходимо пролечить систему с загрузочного KRD, ссылка на скачивание образа диска дал выше.

Это сэмпл, очищенный от Neshta.

Видим, что это действительно Proton

ESET-NOD32 A Variant Of Win64/Filecoder.Proton.A

https://www.virustotal.com/gui/file/6f7c8adc0cb4be82c2724f6831398a39654e62e6f13a0667f7522e5d96fdccee/details

 

Изменено 28 декабря, 2024 пользователем safety

[Лариса B]

есть  шансы - молю? 

[safety]

Проверьте ЛС.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 29 декабря, 2024 пользователем safety

[Игнат Т.]

Здравствуйте! Получилось ли расшифровать?

[safety]

  01.01.2025 в 18:48, Игнат Т. сказал:

Получилось ли расшифровать?

Expand  

Если столкнулись с данным шифровальщиком, создайте отдельную тему в данном разделе.

Добавьте все необходимые файлы и логи.

(Несколько зашифрованных файлов + записка о выкупе + логи FRST (FRST.txt и Addition.txt)

Читаем порядок оформления запроса о помощи.