proton Шифровальщик-вымогатель .kwx8

[Rome0]

15.02 ночью. Судя по всему RDP. На комп был проброшен нестандартный порт. Комп для удаленного подключения был включен круглосуточно. Все бы ничего, но остались незавершенные сессии с сетевым хранилищем NAS и там тоже все зашифровало... Все файлы с расширением .kwx8

Без Вашей помощи не обойтись явно.

Desktop.zip

[safety]

Систему сканировали сканерами KVRT или Cureit? Можете предоставить логи сканирования в архиве, без пароля?

Изменено 17 февраля пользователем safety

[safety]

47 минут назад, orpham сказал:

У нас такая же проблема и тоже 15.02. ((((

Создайте отдельную тему в разделе, не устраивайте кучу-малу в чужой теме.

Изменено 17 февраля пользователем safety

[Rome0]

Пожалуйста

cureit.rar

[safety]

Судя по логу FRST возможно еще и Neshta было заражение. Рекомендуем после очистки в FRST пролечить дополнительно систему

с помощью KRD

---------------

По очистке в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
2025-02-15 06:20 - 2025-02-15 06:20 - 007987254 _____ C:\ProgramData\4316F5FDD13C8318640001A9C003381E.bmp
2025-02-15 03:26 - 2025-02-15 03:26 - 000000442 _____ C:\#HowToRecover.txt
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ВНИМАНИЕ
2025-02-12 20:27 - 2025-02-12 20:27 - 000041472 _____ C:\Windows\svchost.com
2025-02-12 20:27 - 2025-02-08 00:44 - 000169472 _____ C:\Users\User\Desktop\NS.exe
2025-02-15 03:26 - 2024-10-27 15:51 - 000000000 ____D C:\ProgramData\IObit
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

[Rome0]

На рабочем столе появилась папка Mimik еще 12.02. То есть за 3 дня до атаки. В папке набор инструментов по сбору паролей

24 минуты назад, safety сказал:

Добавьте файл Fixlog.txt 

 

Fixlog.txt

[safety]

Разное время бывает от момента проникновение злоумышленников в ЛС до шифрования.Три дня - это много, для того чтобы можно было обнаружить их присутствие в сети. Вначале встпупают дамперы, брутеры, сканеры, затем уже "солируют" рансом и вайпер.

 

Эту папку

2025-02-15 03:25 - 2025-02-15 03:26 - 000000000 ____D C:\Users\User\Desktop\bin-1.3.1

заархивируйте с паролем virus, добавьте архив в ваше сообщение.

+

Проверьте ЛС.

Изменено 17 февраля пользователем safety

[Rome0]

17 часов назад, safety сказал:

C:\Users\User\Desktop\bin-1.3.1

 

bin-1.3.1.zip

 

17 часов назад, safety сказал:

Три дня - это много, для того чтобы можно было обнаружить их присутствие в сети

Объект удаленный, тем более, что они не проявлялись никак до часа Х. А в нужный момент вирусу понадобилось 2 часа на шифровку примерно 160ГБ информации. Сервера из-за брутфорса заблочили учетки, а рабочие станции на win7 ничего не умеют... и даже malwarebytes 5.2 не отработал. Я разочарован... 

[safety]

Эту папку удалите,

C:\Users\User\Desktop\bin-1.3.1

она содержит тело шифровальщика Proton, 

из этой папки и был запуск.

...да, затаятся, и ждут удобного времени для запуска шифрования.

+

Проверьте ЛС.

[safety]

14 часов назад, safety сказал:

2025-02-15 03:25 - 2025-02-15 03:26 - 000000000 ____D C:\Users\User\Desktop\bin-1.3.1

https://virusscan.jotti.org/ru-RU/filescanjob/gts2099f7a

на VT пока не проверен. Проверен.

https://www.virustotal.com/gui/file/74a9e153545a41c9f313a09dc4a5946b13f36283a87814767b282dda9b3301ec

Изменено 18 февраля пользователем safety

[safety]

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

 

 

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);