proton ransomware шифровальщик, возможно Proton/shinra

[plak]

один из компьютеров в сети подцепил шифровальщик. зашифрована масса файлов как на самом пк, так и на папках с общим доступом на другом пк (все имеют формат .1cxz). ос не запустилась при включении. восстановил загрузчик, ос работает, нашел сам .exe (название содержит текст из вымогателя), по почте из файла вымогателя нашел упоминание на гитхабе в файле shinra. nomoreransom и id-ransomware ничего не находят. ос на зараженном пк пока не трогаю, но он может понадобиться, поэтому пока есть время, могу попробовать что-то поискать на нем, если укажете где искать. прикладываю

1. результаты Farbar Recovery Scan Tool
2. зашифрованные файлы
3. шифровальщик

4. текст вымогателя

пароль на все файлы virus

shifr.rar

[safety]

Судя по зашифрованным файлам, записке о выкупе, это действительно Proton/Shinra

https://www.virustotal.com/gui/file/8d1ba1ad1acf781dad37cffe7ee3c1bd7206719d2fae39beb803c6fc6142a645

логи проверю чуть позже.

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
S3 AIDA64Driver; \??\C:\Users\Lena\AppData\Local\Temp\Rar$EXb12212.33648\AIDA64\kerneld.x64 [X] <==== ВНИМАНИЕ
S3 NEProtect; \??\C:\Games\Steam\steamapps\common\Once Human\NEProtect.sys [X]
S3 RTCore64; \??\C:\Program Files (x86)\MSI Afterburner\RTCore64.sys [X]
2025-04-17 13:01 - 2025-04-13 23:17 - 000516096 _____ C:\Users\Lena\Downloads\4C8BDB8FC1F02F77C03F717C9A7CBF28.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[plak]

В 21.04.2025 в 08:51, safety сказал:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

пароль virus

Fixlog.rar

[safety]

Для шифрования PROTON обычно злоумышленники скачивают в учетную запись, через которую было подключение по RDP файлы шифровальщика с именем Stub.exe для запуска в 32 и 64=х разрядных системах.

(После запуска Stub.exe файл шифровальщика может быть переименован в подобное имя:

4C8BDB8FC1F02F77C03F717C9A7CBF28.exe

Если выполняли сканирование в Cureit или KVRT, то эти файлы могли быть найдены.

Расшифровке файлов это не поможет. К сожалению, PROTON использует надежную схему шифрования, и без приватного ключа файлы не могут быть расшифрованы.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 22 апреля пользователем safety

[plak]

49 минут назад, safety сказал:

Если выполняли сканирование в Cureit или KVRT, то эти файлы могли быть найдены.

Расшифровке файлов это не поможет. К сожалению, PROTON использует надежную схему шифрования, и без приватного ключа файлы не могут быть расшифрованы.

получается зашифрованные файлы уже не восстановить?

49 минут назад, safety сказал:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

сканировал только стандартным дефендором винды10. все обновления везде регулярно проверялись. порт рдп не стандартный.

[safety]

Проверьте ЛС.

[safety]

Такой еще скрипт очистки выполните в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
Task: {92891DEB-9CB9-455F-A569-81FBD243D45A} - System32\Tasks\Lena => C:\windows\system32\cmd.exe [289792 2024-05-15] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Lena /t REG_SZ /d "cmd.exe /c start www.dinoklafbzor.org" <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

добавьте новые логи FRST для контроля.