Перейти к содержанию

шифровальщик proton (зашифровано устройство)


Рекомендуемые сообщения

Доброго дня.
Возможно вы сможете мне помочь, на текущий момент удалось определить тип шифровальщика "Proton", хотя аббревиатура нигде такая не встречается, но текстовка и стиль шифрования один.
Спасибо 

#HowToRecover.txt Addition.txt arh.rar FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

43 минуты назад, safety сказал:

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt


Правильно понимаю после проверки, все найденные "вирусы" - лечим ?
а потом уже непосредственно логи ?
 

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, safety сказал:

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt


готово, 
FRST.txt и Addition.txt - во вложении 

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Выполните очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
2025-05-09 02:23 - 2025-05-09 02:23 - 004965174 _____ C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
HKU\S-1-5-21-3929091353-3144764367-4239951852-500\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, safety сказал:

Выполните очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
2025-05-09 02:23 - 2025-05-09 02:23 - 004965174 _____ C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
HKU\S-1-5-21-3929091353-3144764367-4239951852-500\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Fixlog.txt

 

 

 

готово

Ссылка на комментарий
Поделиться на другие сайты

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, safety сказал:
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);


Правильно Вас понимаю, расшифровать файлы не представляется возможным ?

Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, Kachura сказал:

Правильно Вас понимаю, расшифровать файлы не представляется возможным ?

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • hiveliberty
      Автор hiveliberty
      Доброго дня,
      Коллеги столкнулись вчера с интересным шифровальщиком

      Windows Server 2022
      Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
      С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
      И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
      Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
      Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
      Пробовал отправлять куски через Virustotal - ни одного срабатывания.
      Пока прикреплять не стал, согласно правилам)

      Доступа к диску, естественно, нет и файлы никакие не получить.
      Доступен только диск загрузчика и Recovery

      По большому счёту интересно, можно ли с этим что-то делать.
      И в целом, новое что-то?

      Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
      Те спросили имя домена, серверов или их айпишники.
      По имени домена предоставили список файлов с паролями, скрин.

    • Eugene_aka_Hades
      Автор Eugene_aka_Hades
      Здравствуйте,
       
      вчера ломанули сервер с файловой 1С-кой, зашифровали все имеющиеся диски, почистили все резервные копии (пока были настроены только теневые копии), а размещенные файлы теперь имеют расширение dreed.
      Попробовал порталы www.nomoreransom.org, noransom.kaspersky.com, но они не смогли определить данный шифровальщик.
       
      Первый раз сталкиваюсь с этой бедой, подскажите, что делать?
    • reliance
      Автор reliance
      Диспетчер устройств никакую ошибку не выдает, просто не открывается. При открытии Редактора реестра (regedit) появляется ошибка 0xc0000017CollectionLog-2025.06.22-16.40.zip
    • PitBuLL
      Автор PitBuLL
      Wi-Fi TP-Link Archer C5-AC1200.
      С момента его покупки, почти два года назад, у провайдера, установки и настройки техником провайдера - периодически вижу в настройках роутера посторонние подключения устройств по Wi-Fi. 
      Сразу, после покупки, установке и настройке роутера техником - на следующий день обнаружил 4 чужих подключенных устройства. Поменял тогда пароль от роутера (15 символов), поменял пароль от Wi-Fi (30+ символов).
      Через некоторое время опять стали подключаться чужие устройсва.
      Вызывал техника. Со слов техника он обновил прошивку , вернее установил предыдущую версию. Пароли опять были сменены. Через некоторое время опять стали подключаться чужие устройсва.
      И вот опять посторонние подключения. Я уже настройки роутера сбросил к заводским (Reset) и поменял пароли от роутера (15 символов) а  на Wi-Fi (30+ символов).
      Как подключаются посторонние? Взламывают 15-ти значный пароль от роутера или 30+ значный пароль от Wi-Fi? 
      Доступ к ПК с которого вхожу в настройки роутера только у меня.
      30+ значный пароль от Wi-Fi даже домашние не знают. Ввел пароль на их мобильных устройствах один раз, теперь подключаются автоматически (их устройства пароль запомнили, как в принципе и должно быть).
      И тем более ни кто из семьи не сливал пароль от  Wi-Fi соседям, посторонним людям. Ни когда гости не подключались к моей сети Wi-Fi.
       
    • Pristan
      Автор Pristan
      Зашифровались почти все сервера на MS Windows server.
      Пример зашифрованных файлов, требования и логи во вложении.
       
      По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.
       
      Спасибо.
      Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt
×
×
  • Создать...