proton ransomware Помощь в расшифровке файлов

[Равиль.М]

Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил

FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar

[safety]

KES был установлен на пользовательских ПК на момент шифрования?

 

Судя по обнаружениям в KES. это PROTON. Возможно, вариант Shinra.

Цитата

Вчера, 15.04.2025 16:36:51    C:\Users\UserRDP35\Desktop\hi\Win32-Release\Stub.exe    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan-Ransom.Win32.Generic    Экспертный анализ    Файл    C:\Users\UserRDP35\Desktop\hi\Win32-Release    Stub.exe    Обнаружено    Троянское приложение    Высокая    Частично    SRV\Администратор    Инициатор
Вчера, 15.04.2025 16:36:54    C:\Users\UserRDP35\Desktop\hi\x64-Release\Stub.exe    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan-Ransom.Win32.Generic    Экспертный анализ    Файл    C:\Users\UserRDP35\Desktop\hi\x64-Release    Stub.exe    Обнаружено    Троянское приложение    Высокая    Частично    SRV\Администратор    Инициатор

Если эти файлы попали в карантин, восстановите данные файлы из карантина, заархивируйте с паролем virus, загрузите на облачный диск, добавьте ссылку на скачивание в ЛС или в ваше сообщение.

(затем данные файлы можно удалить совсем)

 

По логу FRST:

политики ограничения запуска приложений сами назначали?

Цитата

HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [1] powershell.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [2] powershell_ise.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [3] ServerManager.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [4] eventvwr.msc
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [5] eventvwr.exe
HKU\S-1-5-21-1799016581-3950930353-2357770932-1055\...\Policies\Explorer\DisallowRun: [6] mstsc.exe

 

Изменено 16 апреля, 2025 пользователем safety

[Равиль.М]

KES был установлен на пользовательских ПК на момент шифрования?

Ответ: Был установлен, не было лицензии, был истекшим

 

По логу FRST:

политики ограничения запуска приложений сами назначали?

Ответ: Нет, не я сам,возможно предыдущий админ.

Изменено 16 апреля, 2025 пользователем Равиль.М

[safety]

А сканирование чем выполняли? истекшим продуктом, или после шифрования продлили лицензию?

Эти файлы можете восстановить из карантина?

C:\Users\UserRDP35\Desktop\hi\Win32-Release\Stub.exe

C:\Users\UserRDP35\Desktop\hi\x64-Release\Stub.exe

Можно всю папку hi заархивировать с паролем virus.

[Равиль.М]

6 минут назад, safety сказал:

А сканирование чем выполняли? истекшим продуктом, или после шифрования продлили лицензию?

Эти файлы можете восстановить из карантина?

C:\Users\UserRDP35\Desktop\hi\Win32-Release\Stub.exe

C:\Users\UserRDP35\Desktop\hi\x64-Release\Stub.exe

Можно всю папку hi заархивировать с паролем virus.

После шифрования продлили лицензию и сканировали.

В карантине они есть, при восстановлении сам вирус stub.exe Антивирус сразу блочит - не дает скопировать, отключать Антивирус и перекинуть не хватает смелости.

[safety]

Временно отключите защиту, или добавьте папку hi (C:\Users\UserRDP35\Desktop\hi) временно в исключение антивируса.  После архивирования с паролем можно файлы удалить, исключение так же удалить.

Файлы сами по себе не запускаются после восстановления из карантина. Или хотя бы напишите хэши указанных файлов. В карантине KES должны быть указаны хэши удаленных файлов.

Изменено 17 апреля, 2025 пользователем safety

[safety]

Судя по логам FRST, можно сделать вывод, что запуск шифровальщика был не на файловом сервере, а на тех двум устройствах, связанных с данными пользователями:

C:\Users\UserRDP37

C:\Users\UserRDP35

где было обнаружение тел шифровальщика (Stub.exe)

Изменено 16 апреля, 2025 пользователем safety