Перейти к содержанию

Файлы зашифрованы Trojan.Encoder.37448 #Proton

UcherMD1408
 Поделиться

Рекомендуемые сообщения

UcherMD1408

UcherMD1408

Опубликовано
Опубликовано (изменено)

27.04.2025 при включении рабочих компьютеров в частной сети (сеть из 3-х компьютеров с выходом в интернет через роутер Keenetic Air) при входе в Windows 10 Pro ПК стали появляться сообщения на синем экране Your computer is encrypted We encrypted and stolen all of your files. При дальнейшем входе в систему на каждом компьютере было обнаружено, что все файлы с данными зашифрованы, ярлыки имеют неопознанный вид, расширения у файлов .1cxz. Файлы не открываются. На одном компьютере при входе в систему появляется надпись Службе "Служба профилей пользователей" не удалось войти в систему Невозможно загрузить профиль пользователя. При запуске приложений на одном компьютере возникают ошибки, программы не запускаются. При обращении к провайдеру, предоставляющего Internet, для оказания посильной помощи, нам был прислан MBSetup для сканирования и лечения. После его запуска   на одном ПК, были обнаружены потенциальные угрозы и отправлены в карантин, после чего ряд программ также перестали открываться.  Нужна помощь в ликвидации шифровальщика и расшифровке файлов с данными. 

#HowToRecover.txt  FRST.txt Addition.txtMalwarebytes Отчет о проверке 2025-04-28 113145.txtАрхив файлов.7z

Изменено пользователем UcherMD1408
Добавил ссылки на вложенные файлы
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по отчету сканирования MBAM:

Цитата

Ransom.FileCryptor, C:\USERS\\u00d0\u009f\u00d0\u00be\u00d0\u00bb\u00d1\u008c\u00d0\u00b7\u00d0\u00be\u00d0\u00b2\u00d0\u00b0\u00d1\u0082\u00d0\u00b5\u00d0\u00bb\u00d1\u008c\DESKTOP\HI\WIN32-RELEASE\STUB.EXE, Проигнорировано пользователем, 137, 1302487, 1.0.98473, , ame, , 188AA2B0C254F454088AA765B6B2030A, 99067D26B7CC568C78E595AA1E0EED2E2F29A421612F0D30DDECE76D1095ACD5
Generic.Malware/Suspicious, C:\USERS\\u00d0\u009f\u00d0\u00be\u00d0\u00bb\u00d1\u008c\u00d0\u00b7\u00d0\u00be\u00d0\u00b2\u00d0\u00b0\u00d1\u0082\u00d0\u00b5\u00d0\u00bb\u00d1\u008c\DESKTOP\HI\X64-RELEASE\STUB.EXE, Проигнорировано пользователем, 0, 392686, 1.0.98473, , shuriken, , 5CD54D66DC5DC193C2E443268BAE0D7A, 8D1BA1AD1ACF781DAD37CFFE7EE3C1BD7206719D2FAE39BEB803C6FC6142A645

это действительно PROTON.

SHA-256:

8d1ba1ad1acf781dad37cffe7ee3c1bd7206719d2fae39beb803c6fc6142a645

VirusTotal - File - 8d1ba1ad1acf781dad37cffe7ee3c1bd7206719d2fae39beb803c6fc6142a645

https://virusscan.jotti.org/ru-RU/filescanjob/ij8pttbjok

 

 

 

2025-04-28 11:46 - 2025-04-28 11:48 - 000000000 ____D C:\Users\Пользователь\Desktop\hi
заархивируйте с паролем virus, архив загрузите на облачный диск, дайте ссылку на скачивание здесь.

Возможно что данная папка \DESKTOP\HI есть и на других пострадавших ПК на рабочем столе пользователя.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2025-04-28 11:48 - 2025-04-28 11:48 - 005062710 _____ C:\ProgramData\203B33CC58843B9FC03F717C9A7CBF28.bmp
2025-04-28 11:48 - 2025-04-28 11:48 - 000000608 _____ C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\#HowToRecover.txt
2025-04-28 11:46 - 2025-04-28 11:48 - 000000000 ____D C:\Users\Пользователь\Desktop\hi
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

Если нужно другие системы очистить, добавляйте логи FRST здесь  по мере завершения очистки текущего устройства.

Изменено пользователем safety
UcherMD1408

UcherMD1408

Опубликовано
  • Автор
Опубликовано

Добавил ссылку на скачивание папки HI

hi.7z

 

Даю ссылку на доступ к архивной папке HI

....

Ссылка на архивную папку Quarantine 

 

 

Fixlog.txt

 

 

 

перехожу на другие компы, сделаю то же самое

safety

safety

Опубликовано
Опубликовано (изменено)
В 30.04.2025 в 14:03, UcherMD1408 сказал:

Даю ссылку на доступ к архивной папке HI

...

Ссылка на архивную папку Quarantine 

 

Запросил доступ к файлам  для safety*

 

Цитата

Добавил ссылку на скачивание папки HI

Хорошо, все необходимые файлы здесь есть, эта папка очищается скриптом выше. На других ПК могут быть другие учетные записи, поэтому скрипт выше не сработает. Лучше по каждому ПК делать логи FRST.

Напишем  скрипт очистки для каждого ПК.

Изменено пользователем safety
архив загружен, ссылка удалена
UcherMD1408

UcherMD1408

Опубликовано
  • Автор
Опубликовано

Я правильно понял, что скрипт копирую из сообщения выше, предварительно запустив FRST, никуда этот скрипт на вставляю, а просто нажимаю исправить. Мне только не понятно, зачем браузер со всеми открытыми для работы вкладками нужно закрывать и зачем? 

safety

safety

Опубликовано
Опубликовано

Все верно.

Иногда бывает, если выполняется очистка  вредоносных данных из профиля браузера, а браузер не закрыт, то может возникнуть ошибка при очистке этих строк. Т.е. закрыть браузер перед выполнением скрипта, но после копирования скрипта в буфер обмена - это общая рекомендация на все случаи.

 

Судя по Fixlog скрипт выполнился успешно, значит все правильно делаете.

Цитата

 

"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => не найдено
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore => не найдено
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore => не найдено
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => успешно удалены
HKLM\software\microsoft\windows\currentversion\policies\system\\"LegalNoticeCaption"="" => значение успешно восстановлен
HKLM\software\microsoft\windows\currentversion\policies\system\\"LegalNoticeText"="" => значение успешно восстановлен
"C:\Windows\system32\GroupPolicy\Machine" => не найдено
HKLM\SOFTWARE\Policies\Mozilla => не найдено
"C:\ProgramData\203B33CC58843B9FC03F717C9A7CBF28.bmp" => не найдено
"C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\#HowToRecover.txt" => не найдено
"C:\Users\Пользователь\Desktop\hi" => не найдено


Системе требуется перезагрузка.

 

 

UcherMD1408

UcherMD1408

Опубликовано
  • Автор
Опубликовано

направляю файлы отчета FRST со 2-го компа в сети 

FRST.txt Addition.txt

 

ссылка на архивный файл HI со второго компа в сети

ссылка удалена. Файлы, скорее всего одинаковы.

 

safety

safety

Опубликовано
Опубликовано

По очистке системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\KMmpeg.exe: [Debugger] 0
IFEO\KMPlayer.exe: [Debugger] 0
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2025-04-28 12:32 - 2025-04-28 12:39 - 005062710 _____ C:\ProgramData\78190A960E7EAD23C03F717C9A7CBF28.bmp
2025-04-30 17:39 - 2025-04-30 17:39 - 001806991 _____ C:\Users\Yury\Desktop\hi.7z
2025-04-28 10:56 - 2025-04-28 11:54 - 000000000 ____D C:\Users\Yury\Desktop\hi
2025-04-28 10:54 - 2025-04-28 11:54 - 000000000 ____D C:\Users\Yury\Desktop\!logs
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

safety

safety

Опубликовано
Опубликовано

Хорошо, продолжаем, если еще остались зашифрованные устройства.

UcherMD1408

UcherMD1408

Опубликовано
  • Автор
Опубликовано (изменено)

Папкa C:\FRST\Quarantine

архивирована не вся, скан прилагаю 

Снимок.PNG

Ссылку на папку Quarantine, которая не вся заархивировалась

 

Изменено пользователем safety
архив загружен, ссылка удалена
safety

safety

Опубликовано
Опубликовано (изменено)

доступ не забываем добавлять

Изменено пользователем safety
UcherMD1408

UcherMD1408

Опубликовано
  • Автор
Опубликовано

по третьему ПК отправлю данные позднее

4 минуты назад, safety сказал:

доступ не забываем добавлять

добавил

safety

safety

Опубликовано
Опубликовано

Хорошо, ждем логи с третьего устройства.

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Chaserhunt
      Шифровальщик reopening2025@gmail.com декабрь 2025
      Автор Chaserhunt
      Здравствуйте,
      работали в терминале через VPN,
      в связи с блокировками работать стало не возможно,
      перебросили порты и работали по rdp напрямую.
      антивирусов не было.
      в 06.12 зашифровало сервер 2008 R2 64bit,
      в каждой папке все файлы зашифрованы, и текстовый файл с инструкцией по разблокировке.
      FRST64 на сервере не запускается, предлагает скачать подходящую версию, на win 10 и 11 запускается.
      Пример.zip #HowToRecover.txt Virus.rar
    • Pexorka
      Зашифровали файлы
      Автор Pexorka
      Добрый вечер! Сегодня утром обнаружили что на сервере зашифрованы все файлы и созданы 2 новых тома А и В. прикрепляю зашифрованные файлы и требования выкупа, пароль архива virus. Прошу помочь в расшифровке, заранее спасибо !
      Addition.txt FRST.txt Helper.zip
    • vladimir_kornienkov
      Нужна помощь с расшифровкой файлов
      Автор vladimir_kornienkov
      Добрый день, в 2:00 ночи были зашифрованы все файлы на сервере. Windows 2008 R2 😃 да да, он еще существует
       
      Есть письмо с требованием:

      Warning: Your files have been stolen and encrypted. 
       
      If you want your files back, contact us at the email addresses shown below: 
       
      sembekker@aol.com 
       
      Telegram: @decrypt_yourfile 
       
      # In subject line please write your personal ID 
      ID: 3EAB3BB6E939ECF31504E5DC8AE33F61
       
       
      Check Your Spam Folder: After sending your emails, please check your spam/junk folder 
      regularly to ensure you do not miss our response. 
       
      No Response After 24 Hours: If you do not receive a reply from us within 24 hours, 
      please create a new, valid email address (e.g., from Gmail, Outlook, etc.) 
      and send your message again using the new email address.
       
      Что удалось на яндексить по этому шифровальщику:
       
      Есть ссылка на гит с этой почтой и телегой: https://github.com/rivitna/Malware/blob/main/Proton/attackers.txt
       Так же, по тому что я увидел на сервере, был влом аккаунта Администратор, в папку моя музыка был закинут архив под название zip и в нем есть содержимое: архив загружен, ссылка удалена
    • SerGUNt
      просим помощи с шифровальщиком lsjx
      Автор SerGUNt
      Здравствуйте.
      Взломали компьютер по RDP, зашифровали файлы. Требуют денежку, в текстовых файлах во всех папках раскидали этот файл с контактами. все файлы имеют такой вид: file.[reopening2025@gmail.com].lsjx
      Пытался просканировать FRST ,но её вышибало (запускалась и при нажатии сканировать закрывалась), пока не просканировал всю систему с помощью KVRT, он нашёл только один вирус который сидел в системе: System Memory: HEUR:Trojan.Multi.Ifeodeb.a , пришлось вылечить его из памяти после чего FRST заработал. (кроме его ничего не нашлось, я и ничего лишнего не лечил , только из самой памяти).
      Все данные прикрепляю.
      Так же на рабочем столе есть один не зашифрованный exe файл с названием (WinScan2PDF.exe), что мне показалось странным и я его запаковал на всякий случай как вирус с паролем virus (всё как по мануалу).
      Будем благодарны если рассмотрите мою ситуацию и спасёте файлы.
      В архиве file.7z файлы с примером зашифрованных файлов и текстовик с вымоганием.
       
      virus.7z FRST.7z file.7z
    • Валерий Гурьянов
      Сначала атаковал вирус neshta, затем отработал шифровальщик, всё зашифровал, расширение npz234. Тип шифровальщика определить не получается.
      Автор Валерий Гурьянов
      Заметили, что атаковал вирус neshta, приобрели антивирус Kaspersky Endpoint Security (расширенный), вычистили при его помощи вирус, защита была включена. Ночью отработал шифровальщик, всё зашифровал, расширение npz234. Тип шифровальщика определить не получается.
      Addition.txt FRST.txt Зашифрованные файлы.zip
×
×
  • Создать...