proton ransomware Расшифровка kwx8

[slavel94]

Здравствуйте! Словил шифроватор Mimik, в итоге файлы зашифровались с расширением kwx8. Помогите, пожалуйста

report_2025.03.23_17.06.42.klr.rar

[safety]

Добавьте все необходимые файлы: несколько зашифрованных файлов + записка о выкупе + логи FRST

согласно правилам.

«Порядок оформления запроса о помощи».

[slavel94]

Исправил

HELP.rar

[safety]

Этот файл известен вам?

C:\ProgramData\Synaptics\Synaptics.exe

Проверьте на Virustotal.com, дайте ссылку на результат проверки.

Судя по логу FRST папка с этим файлом создана на момент шифрования.

2025-03-21 20:37 - 2025-03-21 20:39 - 000000000 __SHD C:\ProgramData\Synaptics
 

 

Изменено 24 марта пользователем safety

[slavel94]

Нет, я тоже заметил, что там были манипуляции. Судя по данным поисковиков, этот файл отвечает за тачпад

[safety]

Сюда https://virustotal.com

его (C:\ProgramData\Synaptics\Synaptics.exe) загрузите, 

и дайте ссылку на результат проверки.

Изменено 24 марта пользователем safety

[safety]

По чистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM-x32\...\Run: [Synaptics Pointing Device Driver] => C:\ProgramData\Synaptics\Synaptics.exe [771584 2025-03-21] (Synaptics) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2025-03-21 23:08 - 2025-03-21 23:08 - 006052662 _____ C:\ProgramData\98A34FD132C98CCA640001A9C003381E.bmp
2025-03-21 20:37 - 2025-03-21 20:39 - 000000000 __SHD C:\ProgramData\Synaptics
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[slavel94]

https://www.virustotal.com/gui/file/23ef93582070fff6d8455cc05d894e8c5641cc8d140e9cc74effda5fdbc48e5d ссылка

Fixlog во вложении

Ссылка на карантин удалена уже

Fixlog.txt

Изменено 24 марта пользователем safety
файл загружен и ссылка удалена

[safety]

Эти файлы пробуйте так же восстановить из карантина, добавить в архив с паролем virus, и загрузить на облачный диск, здесь дать ссылку, или в ЛС.

            <Event44 Action="Select action" Time="133871931135535218" Object="C:\Users\Администратор\Desktop\New folder\bin-1.3.1\Win32-Release\Stub.exe" Info="Skip" />

должен быть рядом и другой:

            <Event44 Action="Select action" Time="133871931135535218" Object="C:\Users\Администратор\Desktop\New folder\bin-1.3.1\Win64-Release\Stub.exe" Info="Skip" />

 

+

 

Проверьте ЛС,

Изменено 24 марта пользователем safety

[safety]

или просто эту папку заархивируйте с паролем virus

2025-03-21 20:33 - 2025-03-21 20:39 - 000000000 ____D C:\Users\Администратор\Desktop\New folder

архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

+

Интересный детект:

            <Event38 Action="Detect" Time="133871911262818894" Object="C:\Users\Администратор\Downloads\RakhniDecryptor\RakhniDecryptor.exe" Info="Backdoor.Win32.DarkKomet.hqxy" />

+

эту папку заархивируйте без пароля

2025-03-23 15:32 - 2025-03-23 15:32 - 000000000 ____D C:\Users\Администратор\Downloads\RakhniDecryptor

возможно что ложный детект по файлу, если вы скачали его с официального сайта.

 

 

 

Изменено 24 марта пользователем safety

[slavel94]

Rakhni я скачивал
Архив с паролем virus/ "ссылка удалена".

Изменено 25 марта пользователем safety
файлы загружены, ссылка удалена

[safety]

NS.exe троян, и именно он ставил Synaptics

https://www.virustotal.com/gui/file/7eca6ee31cf005da22892ed6839c4299c43b3959c06ab7c7753153aad4c4cffd/behavior

Stub.exe похоже с тем же функционалом, не видно следов шифрования.

https://www.virustotal.com/gui/file/248cb0c4b839baa5f7340ac87a99ed66f5ae5e7ba78e2c71920b1a9ee9177b65/details

 

 

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

 

 

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

 

Изменено 25 марта пользователем safety

[safety]

11 часов назад, safety сказал:

Stub.exe похоже с тем же функционалом, не видно следов шифрования.

https://www.virustotal.com/gui/file/248cb0c4b839baa5f7340ac87a99ed66f5ae5e7ba78e2c71920b1a9ee9177b65/details

Что еще хотел добавить в связи с этим. Похоже, что все (или большинство) файлы из папки new_folder. а так же возможно, что и в папке Downloads заражены вирусом Delf, в том числе и загруженные вами дешифраторы с сайта Касперского. (заражены они были уже в вашей системе).

 

Поэтому.

Если не планируете переустановить систему, то лучше проверить ее с помощью загрузочного диска:

Не факт, что он сможет вылечить файлы, а скорее всего только удалит.