proton ransomware На сервер попал шифровальщик ((

[Albina]

Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
С надеждой, Альбина

Shortcut_23-04-2025 17.30.07.txt Logs.zip

[safety]

Добавьте несколько зашифрованных файлов в архиве без пароля+

записку о выкупе

2025-04-21 13:27 - 2025-04-21 13:27 - 000000388 _____ C:\#Read-for-recovery.txt

+

этот файл заархивируйте с паролем virus, и добавьте в ваше сообщение.

2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe

 

[Albina]

Готово

 

Virus.zip Files.zip

[safety]

Да, это PROTON.

https://www.virustotal.com/gui/file/5ab32154fecfb39447b6bf5e111ed0d132ed1c31e3e29536ac125c5da7b81e0c

 

Только Web Console от Kaspersky установлена? Антивирусной программы не было?

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by trust
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: MasterData717@gmail.com
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2025-04-21 13:42 - 2025-04-21 13:42 - 005062710 _____ C:\ProgramData\E5D6B51A8F3CA53D5FFFA700E2F88103.bmp
2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe
2025-04-21 13:21 - 2025-04-21 13:21 - 000128000 _____ C:\Users\GhostUser\Downloads\NS.exe
2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

 

[Albina]

1. Был установлеFixlog.txtн Kaspersky endpoint Security. Kaspersky Security Center 11. 

2. При попытке создания архива "C:\FRST\Quarantine"  архиватор выдал ошибку, "Отказано в доступе" к файлу 'C:\FRST\Quarantine\C\Users\GhostUser\Downloads\NS.exe .xBAD

[safety]

KES функционирует сейчас? Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского?

На момент архивирования пробуйте отключить антивирусную защиту.

[Albina]

9 часов назад, safety сказал:

KES функционирует сейчас? Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского?

На момент архивирования пробуйте отключить антивирусную защиту.

Здравствуйте. Kes функционирует. Прилагаю архив с отчетом с начала недели. Шифровальщик словили в пн.
При отключенном антивирусе все равно не дает сделать архив папки C:\FRST\Quarantine.

отчет KES.zip

[safety]

Возможно по этой причине и нет детекта:
 

Цитата

 

22.04.2025 16:31:32    Не удалось выполнить задачу    Обновление    Kaspersky Endpoint Security для Windows    TRAVEL-JAM\student    Невозможно запустить задачу        Обновление    Лицензия не допускает работу компонента    

24.04.2025 13:02:23    Базы сильно устарели    Защита    Kaspersky Endpoint Security для Windows    TRAVEL-JAM\student    Базы сильно устарели  

----------

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

    

Изменено 24 апреля пользователем safety