proton ransomware Вирус зашифровал данные на сервере

[Zakot]

На сервере вчера вирус зашифровал данные, возможно через RDP попал, сегодня обнаружили.

virus.zipFRST.txtAddition.txt

[safety]

Чуть позже отвечу.

-----------

Если систему сканировали с помощью KVRT или Cureit, добавьте в архиве без пароля отчеты или логи сканирования.

 

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
HKU\S-1-5-21-2477232838-280648350-898979907-1000\...\Run: [YandexBrowserAutoLaunch_BB258434376B6649D2397B09775B98BC] => C:\Users\1cbuh\AppData\Local\Yandex\YandexBrowser\Application\browser.exe [4495552 2025-04-25] (YANDEX LLC -> YANDEX LLC)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-05-04 20:21 - 2025-05-04 20:21 - 001653750 _____ C:\ProgramData\D3BE5F16A46508AD35F23CACB380621A.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 5 мая пользователем safety

[Zakot]

Систему не сканировал.

Fixlog.txt

[safety]

Проверьте систему с помощью KVRT, возможно на системном диске остались файлы шифровальщика. (Могут иметь название Stub.exe, Proton.exe) Отчеты о проверке добавьте в ваше сообщение.

[Zakot]

Проверил KVRT, прикрепил отчет. Я так понимаю расшифровки не существует?

report_2025.05.05_17.03.45.klr.zip

Изменено 5 мая пользователем Zakot

[safety]

Эту папку C:\Users\1cbuh\Desktop\toold заархивируйте с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

 

-----------------

Расшифровка файлов по данному типу невозможна без приватного ключа, которого у нас нет.

Восстановление файлов возможно только из бэкапов, если они не пострадали при шифровании.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 5 мая пользователем safety

[Zakot]

Я не могу написать в ЛС (пишет могу отправить только 0 сообщений). Куда лучше отправить?

[safety]

Хорошо, дайте ссылку здесь, в вашем сообщении.

[Zakot]

файл загружен, ссылка удалена

Изменено 9 мая пользователем safety
файл загружен, ссылка удалена