proton ransomware Файлы зашифрованы Trojan.Encoder.37448 #Proton

[UcherMD1408]

27.04.2025 при включении рабочих компьютеров в частной сети (сеть из 3-х компьютеров с выходом в интернет через роутер Keenetic Air) при входе в Windows 10 Pro ПК стали появляться сообщения на синем экране Your computer is encrypted We encrypted and stolen all of your files. При дальнейшем входе в систему на каждом компьютере было обнаружено, что все файлы с данными зашифрованы, ярлыки имеют неопознанный вид, расширения у файлов .1cxz. Файлы не открываются. На одном компьютере при входе в систему появляется надпись Службе "Служба профилей пользователей" не удалось войти в систему Невозможно загрузить профиль пользователя. При запуске приложений на одном компьютере возникают ошибки, программы не запускаются. При обращении к провайдеру, предоставляющего Internet, для оказания посильной помощи, нам был прислан MBSetup для сканирования и лечения. После его запуска   на одном ПК, были обнаружены потенциальные угрозы и отправлены в карантин, после чего ряд программ также перестали открываться.  Нужна помощь в ликвидации шифровальщика и расшифровке файлов с данными. 

#HowToRecover.txt  FRST.txt Addition.txtMalwarebytes Отчет о проверке 2025-04-28 113145.txtАрхив файлов.7z

Изменено 30 апреля пользователем UcherMD1408
Добавил ссылки на вложенные файлы

[safety]

Судя по отчету сканирования MBAM:

Цитата

Ransom.FileCryptor, C:\USERS\\u00d0\u009f\u00d0\u00be\u00d0\u00bb\u00d1\u008c\u00d0\u00b7\u00d0\u00be\u00d0\u00b2\u00d0\u00b0\u00d1\u0082\u00d0\u00b5\u00d0\u00bb\u00d1\u008c\DESKTOP\HI\WIN32-RELEASE\STUB.EXE, Проигнорировано пользователем, 137, 1302487, 1.0.98473, , ame, , 188AA2B0C254F454088AA765B6B2030A, 99067D26B7CC568C78E595AA1E0EED2E2F29A421612F0D30DDECE76D1095ACD5
Generic.Malware/Suspicious, C:\USERS\\u00d0\u009f\u00d0\u00be\u00d0\u00bb\u00d1\u008c\u00d0\u00b7\u00d0\u00be\u00d0\u00b2\u00d0\u00b0\u00d1\u0082\u00d0\u00b5\u00d0\u00bb\u00d1\u008c\DESKTOP\HI\X64-RELEASE\STUB.EXE, Проигнорировано пользователем, 0, 392686, 1.0.98473, , shuriken, , 5CD54D66DC5DC193C2E443268BAE0D7A, 8D1BA1AD1ACF781DAD37CFFE7EE3C1BD7206719D2FAE39BEB803C6FC6142A645

это действительно PROTON.

SHA-256:

8d1ba1ad1acf781dad37cffe7ee3c1bd7206719d2fae39beb803c6fc6142a645

VirusTotal - File - 8d1ba1ad1acf781dad37cffe7ee3c1bd7206719d2fae39beb803c6fc6142a645

https://virusscan.jotti.org/ru-RU/filescanjob/ij8pttbjok

 

 

 

2025-04-28 11:46 - 2025-04-28 11:48 - 000000000 ____D C:\Users\Пользователь\Desktop\hi
заархивируйте с паролем virus, архив загрузите на облачный диск, дайте ссылку на скачивание здесь.

Возможно что данная папка \DESKTOP\HI есть и на других пострадавших ПК на рабочем столе пользователя.

Изменено 30 апреля пользователем safety

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2025-04-28 11:48 - 2025-04-28 11:48 - 005062710 _____ C:\ProgramData\203B33CC58843B9FC03F717C9A7CBF28.bmp
2025-04-28 11:48 - 2025-04-28 11:48 - 000000608 _____ C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\#HowToRecover.txt
2025-04-28 11:46 - 2025-04-28 11:48 - 000000000 ____D C:\Users\Пользователь\Desktop\hi
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

Если нужно другие системы очистить, добавляйте логи FRST здесь  по мере завершения очистки текущего устройства.

Изменено 30 апреля пользователем safety

[UcherMD1408]

Добавил ссылку на скачивание папки HI

hi.7z

 

Даю ссылку на доступ к архивной папке HI

....

Ссылка на архивную папку Quarantine 

 

 

Fixlog.txt

 

 

 

перехожу на другие компы, сделаю то же самое

[safety]

В 30.04.2025 в 14:03, UcherMD1408 сказал:

Даю ссылку на доступ к архивной папке HI

...

Ссылка на архивную папку Quarantine 

 

Запросил доступ к файлам  для safety*

 

Цитата

Добавил ссылку на скачивание папки HI

Хорошо, все необходимые файлы здесь есть, эта папка очищается скриптом выше. На других ПК могут быть другие учетные записи, поэтому скрипт выше не сработает. Лучше по каждому ПК делать логи FRST.

Напишем  скрипт очистки для каждого ПК.

Изменено 1 мая пользователем safety
архив загружен, ссылка удалена

[UcherMD1408]

Я правильно понял, что скрипт копирую из сообщения выше, предварительно запустив FRST, никуда этот скрипт на вставляю, а просто нажимаю исправить. Мне только не понятно, зачем браузер со всеми открытыми для работы вкладками нужно закрывать и зачем? 

[safety]

Все верно.

Иногда бывает, если выполняется очистка  вредоносных данных из профиля браузера, а браузер не закрыт, то может возникнуть ошибка при очистке этих строк. Т.е. закрыть браузер перед выполнением скрипта, но после копирования скрипта в буфер обмена - это общая рекомендация на все случаи.

 

Судя по Fixlog скрипт выполнился успешно, значит все правильно делаете.

Цитата

 

"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => не найдено
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore => не найдено
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore => не найдено
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => успешно удалены
HKLM\software\microsoft\windows\currentversion\policies\system\\"LegalNoticeCaption"="" => значение успешно восстановлен
HKLM\software\microsoft\windows\currentversion\policies\system\\"LegalNoticeText"="" => значение успешно восстановлен
"C:\Windows\system32\GroupPolicy\Machine" => не найдено
HKLM\SOFTWARE\Policies\Mozilla => не найдено
"C:\ProgramData\203B33CC58843B9FC03F717C9A7CBF28.bmp" => не найдено
"C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\#HowToRecover.txt" => не найдено
"C:\Users\Пользователь\Desktop\hi" => не найдено

Системе требуется перезагрузка.

 

 

[UcherMD1408]

направляю файлы отчета FRST со 2-го компа в сети 

FRST.txt Addition.txt

 

ссылка на архивный файл HI со второго компа в сети

ссылка удалена. Файлы, скорее всего одинаковы.

 

[safety]

По очистке системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\KMmpeg.exe: [Debugger] 0
IFEO\KMPlayer.exe: [Debugger] 0
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2025-04-28 12:32 - 2025-04-28 12:39 - 005062710 _____ C:\ProgramData\78190A960E7EAD23C03F717C9A7CBF28.bmp
2025-04-30 17:39 - 2025-04-30 17:39 - 001806991 _____ C:\Users\Yury\Desktop\hi.7z
2025-04-28 10:56 - 2025-04-28 11:54 - 000000000 ____D C:\Users\Yury\Desktop\hi
2025-04-28 10:54 - 2025-04-28 11:54 - 000000000 ____D C:\Users\Yury\Desktop\!logs
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[UcherMD1408]

 

 

Fixlog.txt

[safety]

Хорошо, продолжаем, если еще остались зашифрованные устройства.

[UcherMD1408]

Папкa C:\FRST\Quarantine

архивирована не вся, скан прилагаю 

Ссылку на папку Quarantine, которая не вся заархивировалась

 

Изменено 1 мая пользователем safety
архив загружен, ссылка удалена

[safety]

доступ не забываем добавлять

Изменено 30 апреля пользователем safety

[UcherMD1408]

по третьему ПК отправлю данные позднее

4 минуты назад, safety сказал:

доступ не забываем добавлять

добавил

[safety]

Хорошо, ждем логи с третьего устройства.