proton ransomware Шифровальщик

вчера в 07:51

Зашифровали файлы на компьютере и все общие папки

Подключились к компьютеру по RDP

В архиве логи frst, зашифрованный и расшифрованный файлы

-Файлы.zip

вчера в 09:14

Если систему сканировали Cureit или KVRT добавьте в архиве без пароля отчеты по сканированию

+

покажите что в этой папке

2024-11-29 15:31 - 2025-02-08 12:29 - 000000000 ____D C:\Users\Manager\Desktop\321

23 часа назад

в архиве "virus!" папка с файлами, которые извлек из карантина,

который на скрине отчета о сканировании виден.

пароль на архив: warning!

как показать содержимое папки - не совсем понял, сделал просто команду dir

содержимое папки 321.txt virus!.zip

22 часа назад

Спасибо.

Один из файлов является архивом, который содержит 32 и 64 битную версии шифровальщика.

Вообщем, это Proton. Характерное имя сэмпла.

https://virusscan.jotti.org/ru-RU/filescanjob/w5x4vo7v30

на VT пока не проверил.

Изменено 22 часа назад пользователем safety

22 часа назад

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
Startup: C:\Users\Manager\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#HowToRecover.txt [2025-02-08] () [Файл не подписан]
Startup: C:\Users\Manager\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zfIWxLdYRw.helpo2 [2025-02-08] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
S4 IObitUnlocker; \??\C:\Program Files (x86)\IObit\IObit Unlocker\IObitUnlocker.sys [X]
2025-02-08 23:05 - 2025-02-08 23:05 - 000002224 _____ C:\Users\Manager\advanced_ip_scanner_MAC.bin
2025-02-08 23:05 - 2025-02-08 23:05 - 000000015 _____ C:\Users\Manager\advanced_ip_scanner_Comments.bin
2025-02-08 23:05 - 2025-02-08 23:05 - 000000015 _____ C:\Users\Manager\advanced_ip_scanner_Aliases.bin
2025-02-08 14:47 - 2025-02-08 14:47 - 009216054 _____ C:\ProgramData\FBA9224DE81F4F955FB1BB928EAF75AA.bmp
2025-02-08 12:41 - 2025-02-08 12:41 - 000000450 _____ C:\Users\Public\Downloads\#HowToRecover.txt
2025-02-08 12:41 - 2025-02-08 12:41 - 000000450 _____ C:\Users\Public\#HowToRecover.txt
2025-02-08 12:25 - 2025-02-08 12:25 - 000000450 _____ C:\Users\#HowToRecover.txt
2025-02-08 12:25 - 2025-02-08 12:25 - 000000450 _____ C:\#HowToRecover.txt
2025-02-01 22:47 - 2025-02-08 12:27 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner
2025-02-01 22:43 - 2025-02-08 12:28 - 000000000 ____D C:\ProgramData\IObit
2025-02-01 22:43 - 2025-02-08 12:27 - 000000000 ____D C:\Program Files (x86)\IObit
2025-02-01 22:43 - 2025-02-01 22:43 - 002248928 _____ (IObit ) C:\Users\Manager\Downloads\unlocker-setup.exe
2025-02-01 22:43 - 2025-02-01 22:43 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2025-02-08 22:00 - 2023-05-15 00:10 - 000000000 ____D C:\Users\Manager\Desktop\Scan all network
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

21 час назад

Ссылка на диск

https://disk.yandex.ru/d/sIVYGw_dYOFLaw

Fixlog.txt

21 час назад

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

+

проверьте ЛС.

proton ransomware Шифровальщик

Рекомендуемые сообщения

Thunderer

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Thunderer

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Thunderer

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum