proton ransomware троян .kwx8

[orpham]

Добрый день.

15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/

Помогите пож-та.

Лог сканирования KVRT во вложении.

report_2025.02.17_15.55.29.klr.rar

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[orpham]

2 часа назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

я всё прочитал. дальше что от меня требуется?

 

[Mark D. Pearlstone]

3 минуты назад, orpham сказал:

я всё прочитал. дальше что от меня требуется?

Выполнить и выложить то, что там написано.

[safety]

7 часов назад, orpham сказал:

Лог сканирования KVRT во вложении.

Если папка C:\Users\Admin\Desktop\bin-1.3.1\ сохранилась в системе, заархивируйте с паролем virus, добавьте в ваше сообщени архив.

Изменено 17 февраля пользователем safety

[orpham]

17 часов назад, safety сказал:

 

Добрый день.

 

Архив во вложении.

bin-1.3.1.rar

 

22 часа назад, Mark D. Pearlstone сказал:

Выполнить и выложить то, что там написано.

 

Addition.txt bin-1.3.1.rar FRST.txt зашифр файлы.rar

[safety]

Цитата

Если папка C:\Users\Admin\Desktop\bin-1.3.1\ сохранилась в системе, заархивируйте с паролем virus, добавьте в ваше сообщени архив.

https://www.virustotal.com/gui/file/9d7e2a9783baf1a20472940d4d45534321b89434ed0cc459aa160b0fcb2c9247

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1002\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1003\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1004\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1005\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1006\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1007\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1008\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1009\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1010\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1011\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1012\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1013\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1014\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKLM-x32\...\Edge\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [cdjkkeofanojcdolaakkckkmfcjejlij]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp]
2025-02-15 19:28 - 2025-02-15 19:28 - 006052662 _____ C:\ProgramData\758EB317B8F896C9640001A9C003381E.bmp
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\Users\Admin\#HowToRecover.txt
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\ProgramData\Microsoft\Windows\Start Menu\#HowToRecover.txt
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\ProgramData\#HowToRecover.txt
2025-02-15 19:12 - 2025-02-15 19:12 - 000000442 _____ C:\Program Files (x86)\#HowToRecover.txt
2025-02-15 19:09 - 2025-02-15 19:09 - 000000442 _____ C:\Users\#HowToRecover.txt
2025-02-15 19:08 - 2025-02-15 19:18 - 000000000 ____D C:\Users\Admin\Desktop\bin-1.3.1
2025-02-15 19:08 - 2025-02-15 19:08 - 000000442 _____ C:\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 18 февраля пользователем safety

[orpham]

подскажите пож-та, а расшифровать получится файлы?

[safety]

Все напишу. Делаем все по порядку.

[orpham]

еще вопрос. получается зараженный комп надо снова подключить к интернету (как обнаружил проблему - отключил от интернета), правильно?

 

Fixlog.txt

ссылка на скачивание:  удалена

Изменено 19 февраля пользователем safety

[safety]

Да, от интернета имеет смысл изолировать устройство, пока не будут завершены восстановительные работы.

+

Проверьте ЛС.

+

Расшифровка файлов по данному типу невозможна без приватного ключа.

 

теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 19 февраля пользователем safety