proton ransomware троян .kwx8

17 февраля

Добрый день.

15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/

Помогите пож-та.

Лог сканирования KVRT во вложении.

report_2025.02.17_15.55.29.klr.rar

17 февраля

Порядок оформления запроса о помощи

17 февраля

2 часа назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

я всё прочитал. дальше что от меня требуется?

17 февраля

3 минуты назад, orpham сказал:

я всё прочитал. дальше что от меня требуется?

Выполнить и выложить то, что там написано.

17 февраля

7 часов назад, orpham сказал:

Лог сканирования KVRT во вложении.

Если папка C:\Users\Admin\Desktop\bin-1.3.1\ сохранилась в системе, заархивируйте с паролем virus, добавьте в ваше сообщени архив.

Изменено 17 февраля пользователем safety

18 февраля

17 часов назад, safety сказал:

Добрый день.

Архив во вложении.

bin-1.3.1.rar

22 часа назад, Mark D. Pearlstone сказал:

Выполнить и выложить то, что там написано.

Addition.txt bin-1.3.1.rar FRST.txt зашифр файлы.rar

18 февраля

Цитата

Если папка C:\Users\Admin\Desktop\bin-1.3.1\ сохранилась в системе, заархивируйте с паролем virus, добавьте в ваше сообщени архив.

https://www.virustotal.com/gui/file/9d7e2a9783baf1a20472940d4d45534321b89434ed0cc459aa160b0fcb2c9247

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1002\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1003\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1004\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1005\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1006\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1007\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1008\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1009\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1010\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1011\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1012\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1013\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1014\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKLM-x32\...\Edge\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [cdjkkeofanojcdolaakkckkmfcjejlij]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp]
2025-02-15 19:28 - 2025-02-15 19:28 - 006052662 _____ C:\ProgramData\758EB317B8F896C9640001A9C003381E.bmp
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\Users\Admin\#HowToRecover.txt
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\ProgramData\Microsoft\Windows\Start Menu\#HowToRecover.txt
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\ProgramData\#HowToRecover.txt
2025-02-15 19:12 - 2025-02-15 19:12 - 000000442 _____ C:\Program Files (x86)\#HowToRecover.txt
2025-02-15 19:09 - 2025-02-15 19:09 - 000000442 _____ C:\Users\#HowToRecover.txt
2025-02-15 19:08 - 2025-02-15 19:18 - 000000000 ____D C:\Users\Admin\Desktop\bin-1.3.1
2025-02-15 19:08 - 2025-02-15 19:08 - 000000442 _____ C:\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 18 февраля пользователем safety

18 февраля

подскажите пож-та, а расшифровать получится файлы?

18 февраля

Все напишу. Делаем все по порядку.

18 февраля

еще вопрос. получается зараженный комп надо снова подключить к интернету (как обнаружил проблему - отключил от интернета), правильно?

Fixlog.txt

ссылка на скачивание: удалена

Изменено 19 февраля пользователем safety

19 февраля

Да, от интернета имеет смысл изолировать устройство, пока не будут завершены восстановительные работы.

+

Проверьте ЛС.

+

Расшифровка файлов по данному типу невозможна без приватного ключа.

теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 19 февраля пользователем safety

proton ransomware троян .kwx8

Рекомендуемые сообщения

orpham

Ссылка на комментарий

Поделиться на другие сайты

Mark D. Pearlstone

Ссылка на комментарий

Поделиться на другие сайты

orpham

Ссылка на комментарий

Поделиться на другие сайты

Mark D. Pearlstone

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

orpham

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

orpham

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

orpham

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum