proxima Запрос на помощь в расшифровке файлов

[M_X]

Здравствуйте. Зашифровали файлы... 
Скорее всего проникли через RDP...

Сам шифровальщик не обнаружал....

Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.

FRST.txt Addition.txt Desktop.rar

[M_X]

есть мнение (вероятность), что файлы зашифрованы одним из вариантов Trojan.Encoder.37373

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3244530761-3488369091-3774858358-1000\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-3244530761-3488369091-3774858358-1000\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-3244530761-3488369091-3774858358-1000\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-3244530761-3488369091-3774858358-1000\...\Policies\Explorer\DisallowRun: [13] KVRT.exe
HKU\S-1-5-21-3244530761-3488369091-3774858358-1000\...\Policies\Explorer\DisallowRun: [14] cureit.exe
IFEO\CompatTelRunner.exeSecurityHealthHost: [Debugger] Hotkey Disabled
IFEO\ConfigSecurityPolicy: [Debugger] Hotkey Disabled
IFEO\DlpUserAgent: [Debugger] Hotkey Disabled
IFEO\MpDefenderCoreService: [Debugger] Hotkey Disabled
IFEO\MpDlpCmd: [Debugger] Hotkey Disabled
IFEO\MpDlpService: [Debugger] Hotkey Disabled
IFEO\mpextms: [Debugger] Hotkey Disabled
IFEO\MsMpEng: [Debugger] Hotkey Disabled
IFEO\NisSrv: [Debugger] Hotkey Disabled
IFEO\SecurityHealthService: [Debugger] Hotkey Disabled
IFEO\SecurityHealthSystray: [Debugger] Hotkey Disabled
IFEO\smartscreen.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.CloudService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.MountService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.WmiServer.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.EndPoint.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.VssHwSnapshotProvider.exe: [Debugger] Hotkey Disabled
IFEO\VeeamDeploymentSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamHvIntegrationSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamNFSSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamTransportSvc.exe: [Debugger] Hotkey Disabled
IFEO\vmcompute.exe: [Debugger] Hotkey Disabled
IFEO\vmms.exe: [Debugger] Hotkey Disabled
IFEO\vmwp.exe: [Debugger] Hotkey Disabled
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\KIA\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\MX\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ZIS\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Администратор.MXPC\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {7C43DB0D-76B7-4081-8AFC-69659A103EC0} - System32\Tasks\Microsoft\Windows\Wininet\RealtekMO => C:\Programdata\RealtekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {34C5FC9A-FF23-4541-A7A7-A589AAE35F05} - System32\Tasks\Microsoft\Windows\Wininet\RealtekOnLogon => C:\Programdata\RealtekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

С расшифровкой системы по данному типу шифровальщика не поможем.

[M_X]

файл Fixlog.txt

Fixlog.txt

[safety]

Очистка прошла успешно.

 

По данному типу шифровальщика в настоящее время нет возможности расшифровать файлы без приватного ключа.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Изменено 14 апреля пользователем safety

[M_X]

Понятно.. спасибо...
А подскажите еще: я запускал еще KVRT, возможно после него и его чистки у меня пропал доступ к разделам - в том смысле, что пропала меню - создать папку и при попытке копировать любой файл на данный диск - так же не дается этого сделать, мол прав не хватает, причем даже если это делать по администратором..

[safety]

Добавьте папку reports из отчета KVRT для проверки обнаружений.

[M_X]

Reports.rar
без пароля

[safety]

Файл шифровальщика возможно самоудалился. С расшифровкой не сможем помочь.

[M_X]

Печально.. спасибо за помощь..

Подскажите FRST пофиксил групповые политки - возможно или, что теперь из-за этого разделы стали защещены ? т.е. сейчас не могу переместить  в них ни какие файлы, а также исчезло "Создание папки" из контекстного меню

[safety]

Вам проще будет переустановить систему и заново настроить ее для работы, после того как система была заражена майнером John, и затем еще и зашифрована Proxima,

Изменено 15 апреля пользователем safety