proton ransomware На сервер попал шифровальщик ((

вчера в 13:41

Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
С надеждой, Альбина

Shortcut_23-04-2025 17.30.07.txt Logs.zip

вчера в 13:47

Добавьте несколько зашифрованных файлов в архиве без пароля+

записку о выкупе

2025-04-21 13:27 - 2025-04-21 13:27 - 000000388 _____ C:\#Read-for-recovery.txt

+

этот файл заархивируйте с паролем virus, и добавьте в ваше сообщение.

2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe

вчера в 14:12

Готово

Virus.zip Files.zip

вчера в 14:33

Да, это PROTON.

https://www.virustotal.com/gui/file/5ab32154fecfb39447b6bf5e111ed0d132ed1c31e3e29536ac125c5da7b81e0c

Только Web Console от Kaspersky установлена? Антивирусной программы не было?

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by trust
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: MasterData717@gmail.com
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2025-04-21 13:42 - 2025-04-21 13:42 - 005062710 _____ C:\ProgramData\E5D6B51A8F3CA53D5FFFA700E2F88103.bmp
2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe
2025-04-21 13:21 - 2025-04-21 13:21 - 000128000 _____ C:\Users\GhostUser\Downloads\NS.exe
2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

вчера в 15:03

1. Был установлеFixlog.txtн Kaspersky endpoint Security. Kaspersky Security Center 11.

2. При попытке создания архива "C:\FRST\Quarantine" архиватор выдал ошибку, "Отказано в доступе" к файлу 'C:\FRST\Quarantine\C\Users\GhostUser\Downloads\NS.exe .xBAD

22 часа назад

KES функционирует сейчас? Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского?

На момент архивирования пробуйте отключить антивирусную защиту.

13 часов назад

9 часов назад, safety сказал:

KES функционирует сейчас? Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского?

На момент архивирования пробуйте отключить антивирусную защиту.

Здравствуйте. Kes функционирует. Прилагаю архив с отчетом с начала недели. Шифровальщик словили в пн.
При отключенном антивирусе все равно не дает сделать архив папки C:\FRST\Quarantine.

отчет KES.zip

12 часов назад

Возможно по этой причине и нет детекта:

Цитата

22.04.2025 16:31:32 Не удалось выполнить задачу Обновление Kaspersky Endpoint Security для Windows TRAVEL-JAM\student Невозможно запустить задачу Обновление Лицензия не допускает работу компонента

24.04.2025 13:02:23 Базы сильно устарели Защита Kaspersky Endpoint Security для Windows TRAVEL-JAM\student Базы сильно устарели

----------

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 12 часов назад пользователем safety

proton ransomware На сервер попал шифровальщик ((

Рекомендуемые сообщения

Albina

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Albina

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Albina

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Albina

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum