proton ransomware шифровальщик proton (зашифровано устройство)

[Kachura]

Доброго дня.
Возможно вы сможете мне помочь, на текущий момент удалось определить тип шифровальщика "Proton", хотя аббревиатура нигде такая не встречается, но текстовка и стиль шифрования один.
Спасибо 

#HowToRecover.txt Addition.txt arh.rar FRST.txt

[safety]

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt

Изменено вчера в 11:09 пользователем safety

[Kachura]

43 минуты назад, safety сказал:

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt

Правильно понимаю после проверки, все найденные "вирусы" - лечим ?
а потом уже непосредственно логи ?
 

[safety]

Да, лечим, если лечение невозможно - удаляем.

[Kachura]

1 час назад, safety сказал:

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt

готово, 
FRST.txt и Addition.txt - во вложении 

Addition.txt FRST.txt

[safety]

Выполните очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
2025-05-09 02:23 - 2025-05-09 02:23 - 004965174 _____ C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
HKU\S-1-5-21-3929091353-3144764367-4239951852-500\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[Kachura]

5 минут назад, safety сказал:

Выполните очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
2025-05-09 02:23 - 2025-05-09 02:23 - 004965174 _____ C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
HKU\S-1-5-21-3929091353-3144764367-4239951852-500\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Fixlog.txt

 

 

 

готово

[safety]

Проверьте ЛС.

[safety]

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[Kachura]

5 минут назад, safety сказал:

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Правильно Вас понимаю, расшифровать файлы не представляется возможным ?

[safety]

2 минуты назад, Kachura сказал:

Правильно Вас понимаю, расшифровать файлы не представляется возможным ?

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.