proton ransomware троян .kwx8

Понедельник в 14:04

Добрый день.

15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/

Помогите пож-та.

Лог сканирования KVRT во вложении.

report_2025.02.17_15.55.29.klr.rar

Понедельник в 15:10

Порядок оформления запроса о помощи

Понедельник в 17:11

2 часа назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

я всё прочитал. дальше что от меня требуется?

Понедельник в 17:14

3 минуты назад, orpham сказал:

я всё прочитал. дальше что от меня требуется?

Выполнить и выложить то, что там написано.

Понедельник в 21:46

7 часов назад, orpham сказал:

Лог сканирования KVRT во вложении.

Если папка C:\Users\Admin\Desktop\bin-1.3.1\ сохранилась в системе, заархивируйте с паролем virus, добавьте в ваше сообщени архив.

Изменено Понедельник в 22:01 пользователем safety

Вторник в 09:16

17 часов назад, safety сказал:

Добрый день.

Архив во вложении.

bin-1.3.1.rar

22 часа назад, Mark D. Pearlstone сказал:

Выполнить и выложить то, что там написано.

Addition.txt bin-1.3.1.rar FRST.txt зашифр файлы.rar

Вторник в 11:47

Цитата

Если папка C:\Users\Admin\Desktop\bin-1.3.1\ сохранилась в системе, заархивируйте с паролем virus, добавьте в ваше сообщени архив.

https://www.virustotal.com/gui/file/9d7e2a9783baf1a20472940d4d45534321b89434ed0cc459aa160b0fcb2c9247

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1002\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1003\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1004\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1005\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1006\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1007\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1008\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1009\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1010\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1011\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1012\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1013\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1014\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKLM-x32\...\Edge\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [cdjkkeofanojcdolaakkckkmfcjejlij]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp]
2025-02-15 19:28 - 2025-02-15 19:28 - 006052662 _____ C:\ProgramData\758EB317B8F896C9640001A9C003381E.bmp
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\Users\Admin\#HowToRecover.txt
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\ProgramData\Microsoft\Windows\Start Menu\#HowToRecover.txt
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\ProgramData\#HowToRecover.txt
2025-02-15 19:12 - 2025-02-15 19:12 - 000000442 _____ C:\Program Files (x86)\#HowToRecover.txt
2025-02-15 19:09 - 2025-02-15 19:09 - 000000442 _____ C:\Users\#HowToRecover.txt
2025-02-15 19:08 - 2025-02-15 19:18 - 000000000 ____D C:\Users\Admin\Desktop\bin-1.3.1
2025-02-15 19:08 - 2025-02-15 19:08 - 000000442 _____ C:\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено Вторник в 11:59 пользователем safety

Вторник в 12:10

подскажите пож-та, а расшифровать получится файлы?

Вторник в 12:11

Все напишу. Делаем все по порядку.

Вторник в 14:02

еще вопрос. получается зараженный комп надо снова подключить к интернету (как обнаружил проблему - отключил от интернета), правильно?

Fixlog.txt

ссылка на скачивание: удалена

Изменено Среда в 16:32 пользователем safety

Среда в 01:27

Да, от интернета имеет смысл изолировать устройство, пока не будут завершены восстановительные работы.

+

Проверьте ЛС.

+

Расшифровка файлов по данному типу невозможна без приватного ключа.

теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено Среда в 09:52 пользователем safety

proton ransomware троян .kwx8

Рекомендуемые сообщения

orpham

Ссылка на комментарий

Поделиться на другие сайты

Mark D. Pearlstone

Ссылка на комментарий

Поделиться на другие сайты

orpham

Ссылка на комментарий

Поделиться на другие сайты

Mark D. Pearlstone

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

orpham

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

orpham

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

orpham

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum