proton ransomware Получил подарочек на Новый Год. Зараза зашифровала рабочий архив (((((((

[a.n.d.r.e.w]

Привет, друзья. У меня небольшая организация, 5 рабочих мест, сисадмина нет. Есть виртуальный MS Server 2019 на VMWare работающий на одной из машин. Сервер используется как файловое хранилище и еще на нем sql работает для 1С. В конце декабря обновлял лицензию антивируса, оплатил Premium, который пытался установить и на сервер тоже, конечно не вышло. Думаю когда я искал браузер для установки антивируса тогда и налетел, потому что существующий IE не поддерживался. Последний раз работал 30.12.24, всё было норм. Когда решил заскочить проверить после НГ 01.01.25 обнаружил проблему. С машиной на которой стояла VMW всё хорошо, а в виртуальной системе все плохо. Я конечно все остановил сразу, но уже поздно было. Есть бэкап от октября, поэтому есть оригинальные файлы для анализа. Бесплатные утилиты пробовал, не получилось ничего, хотя может из-за кривых рук. Виртуальные диски скопировал. Монтировал напрямую, проверял антивирусом. Экспериментировал на копиях.

Друзья, прошу помощи. Готов заплатить за работу!

 

P.S. Во вложении несколько архивов

xls, jpeg -в каждом два файла оригинал + шифрованный 

pic - скриншоты

htr - требования

RFST - отчет Farbar Recovery Scan Tool 

(местонахождение вируса выяснить не смог)

 

 

htr.rar jpeg.rar pic.rar RFST.rar xls.rar

[safety]

Отчеты так же добавьте по сканированию в KVRT,

Они в этой папке:

2025-01-02 14:29 - 2025-01-02 14:29 - 000000000 ____D C:\KVRT2020_Data

и в этой папке покажите что есть:

C:\Users\Администратор\Pictures\b1

 

Изменено 2 января пользователем safety

[a.n.d.r.e.w]

1 час назад, safety сказал:

Отчеты так же добавьте по сканированию в KVRT,

Они в этой папке:

2025-01-02 14:29 - 2025-01-02 14:29 - 000000000 ____D C:\KVRT2020_Data

и в этой папке покажите что есть:

C:\Users\Администратор\Pictures\b1

 

После обновления KAV не могу зайти по RDP на рабочий компьютер из дома. С настройками нужно разбираться. Завтра съезжу, дополню информацию. 🙏

[a.n.d.r.e.w]

Вот добавил скриншот содержимого C:\Users\Администратор\Pictures\b1

и отчет из C:\KVRT2020_Data\Reports

report_2025.01.02_14.29.41.klr.rar

[safety]

18 минут назад, a.n.d.r.e.w сказал:

C:\Users\Администратор\Pictures\b1

Папку заархивируйте, пожалуйста, с паролем virus, архив выложите на облачный диск, и дайте ссылку на скачивание здесь.

(в x64-Release должно быть тело шифровальщика, если только сканер его не прибил)

24 минуты назад, a.n.d.r.e.w сказал:

и отчет из C:\KVRT2020_Data\Reports

судя по отчету сканер ничего не нашел.

[a.n.d.r.e.w]

2 часа назад, safety сказал:

судя по отчету сканер ничего не нашел

Да, когда он отработал то ничего не выявил.

Беда блин праздники гости... На работу забежал сегодня не надолго. Из дома не получается ничего сделать. Попробовал не запускать виртуалку а смонтировать диск С. Не пускает в папки пользователей. Никакие права не переназначаются, говорит диск защищен от записи. А когда запускаю виртуалку Касперский кричит о сетевых атаках в т.ч с ip виртуалки и отрубает сеть. Перенести только флешкой получается подключая то к виртуалке то к хосту. Соответственно удаленный стол отваливается тоже пока не остановить виртуалку. Возможно какие-то настройки антивируса нужно сделать, но отключать защиту прям не хочется. Завтра буду на работе подольше. Всё сделаю и скину (((

[safety]

Хорошо, жду.

[a.n.d.r.e.w]

Добрый день.

В папке в x64-Release пусто ((

Может сканер его удалил, может он сам себя.

C:\Users\Администратор\Pictures\b1 ссылка на рхив  https://disk.yandex.ru/d/gCb5V3Ct0RtZoQ

Без шансов? 

 

Из необычного еще Фаерфокс тот с помощью которого я хотел скачать и установить антивирус, периодически запускается вот с таим сообщением.

 

и еще вот эти два раздела, которые обычно скрыты (системные) теперь видимые

в проводнике и переименованы

 

 

[safety]

Да, мог Proton скрытые разделы прмонтировать.

 

Цитата

В конце декабря обновлял лицензию антивируса, оплатил Premium, который пытался установить и на сервер тоже, конечно не вышло

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(explorer.exe ->) (voidtools -> ) C:\Users\Администратор\Pictures\b1\Everything.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
S4 IObitUnlocker; C:\Program Files (x86)\IObit\IObit Unlocker\IObitUnlocker.sys [41536 2022-08-16] (Microsoft Windows Hardware Compatibility Publisher -> IObit Information Technology)
2024-12-31 23:33 - 2024-12-31 23:33 - 000001213 _____ C:\Users\Public\Desktop\IObit Unlocker.lnk
2024-12-31 23:33 - 2024-12-31 23:33 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2024-12-31 23:33 - 2024-12-31 23:33 - 000000000 ____D C:\ProgramData\IObit
2024-12-31 23:33 - 2024-12-31 23:33 - 000000000 ____D C:\Program Files (x86)\IObit
2024-12-31 23:28 - 2024-12-31 23:28 - 003481654 _____ C:\ProgramData\CD1D5C9BFBC66034FCE7BD49A365A38F.bmp
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\Андрей\Downloads\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\Андрей\Documents\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\Андрей\AppData\Local\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\Андрей\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\Администратор\Downloads\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\Администратор\Documents\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\Администратор\Desktop\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\Администратор\AppData\Local\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\Администратор\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\USRSQL\Downloads\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\USRSQL\Documents\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\USRSQL\Desktop\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\USRSQL\AppData\Roaming\Microsoft\Windows\Start Menu\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\USRSQL\AppData\Local\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\USRSQL\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\Public\Downloads\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\Public\Documents\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\Users\Public\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\ProgramData\Microsoft\Windows\Start Menu\#HowToRecover.txt
2024-12-31 23:28 - 2024-12-31 23:28 - 000000469 _____ C:\ProgramData\#HowToRecover.txt
2024-12-31 23:25 - 2024-12-31 23:25 - 000000469 _____ C:\Users\#HowToRecover.txt
2024-12-31 23:25 - 2024-12-31 23:25 - 000000469 _____ C:\Program Files\#HowToRecover.txt
2024-12-31 23:25 - 2024-12-31 23:25 - 000000469 _____ C:\Program Files (x86)\#HowToRecover.txt
2024-12-31 23:25 - 2024-12-31 23:25 - 000000469 _____ C:\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 4 января пользователем safety

[a.n.d.r.e.w]

41 минуту назад, safety сказал:

По очистке системы:

если просто очистка системы от вируса, но мне не надо, у меня копия виртуальных дисков есть.

или еще есть шанс восстановить данные?

 

Fixlog.txt

Изменено 4 января пользователем a.n.d.r.e.w

[safety]

увы, по данному типу шифровальщика расшифровка файлов невозможна без приватного ключа. Которого у нас нет.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Изменено 4 января пользователем safety

[a.n.d.r.e.w]

Спасибо за попытку помочь.