Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Доброго дня.
Возможно вы сможете мне помочь, на текущий момент удалось определить тип шифровальщика "Proton", хотя аббревиатура нигде такая не встречается, но текстовка и стиль шифрования один.
Спасибо 

#HowToRecover.txt Addition.txt arh.rar FRST.txt

Опубликовано (изменено)

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt

Изменено пользователем safety
Опубликовано
43 минуты назад, safety сказал:

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt


Правильно понимаю после проверки, все найденные "вирусы" - лечим ?
а потом уже непосредственно логи ?
 

Опубликовано

Да, лечим, если лечение невозможно - удаляем.

Опубликовано
1 час назад, safety сказал:

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt


готово, 
FRST.txt и Addition.txt - во вложении 

Addition.txt FRST.txt

Опубликовано

Выполните очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
2025-05-09 02:23 - 2025-05-09 02:23 - 004965174 _____ C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
HKU\S-1-5-21-3929091353-3144764367-4239951852-500\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Опубликовано
5 минут назад, safety сказал:

Выполните очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
2025-05-09 02:23 - 2025-05-09 02:23 - 004965174 _____ C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
HKU\S-1-5-21-3929091353-3144764367-4239951852-500\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Fixlog.txt

 

 

 

готово

Опубликовано
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Опубликовано
5 минут назад, safety сказал:
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);


Правильно Вас понимаю, расшифровать файлы не представляется возможным ?

Опубликовано
2 минуты назад, Kachura сказал:

Правильно Вас понимаю, расшифровать файлы не представляется возможным ?

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

  • Like (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Пользователь13
      Автор Пользователь13
      Добрый день, Коллеги.
      Есть проблема. В АДшке висят компьютеры по некоторым папкам, которые на данный момент выключены и пока включаться не собираются. 
      Я хочу убрать из касперского чтобы не мешались. В разделе обнаружение устройств, в папках АД я отключал их папку для обнаружение, но они всё равно обнаруживаются.
    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • zimolev
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • hiveliberty
      Автор hiveliberty
      Доброго дня,
      Коллеги столкнулись вчера с интересным шифровальщиком

      Windows Server 2022
      Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
      С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
      И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
      Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
      Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
      Пробовал отправлять куски через Virustotal - ни одного срабатывания.
      Пока прикреплять не стал, согласно правилам)

      Доступа к диску, естественно, нет и файлы никакие не получить.
      Доступен только диск загрузчика и Recovery

      По большому счёту интересно, можно ли с этим что-то делать.
      И в целом, новое что-то?

      Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
      Те спросили имя домена, серверов или их айпишники.
      По имени домена предоставили список файлов с паролями, скрин.

    • fastheel
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
×
×
  • Создать...