Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

шифровальщик proton (зашифровано устройство)

Kachura
 Поделиться

Рекомендуемые сообщения

Kachura Новичок

Kachura

Опубликовано
Опубликовано

Доброго дня.
Возможно вы сможете мне помочь, на текущий момент удалось определить тип шифровальщика "Proton", хотя аббревиатура нигде такая не встречается, но текстовка и стиль шифрования один.
Спасибо 

#HowToRecover.txt Addition.txt arh.rar FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Kachura Новичок

Kachura

Опубликовано
  • Автор
Опубликовано
43 минуты назад, safety сказал:

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt


Правильно понимаю после проверки, все найденные "вирусы" - лечим ?
а потом уже непосредственно логи ?
 

Ссылка на комментарий
Поделиться на другие сайты
Kachura Новичок

Kachura

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt


готово, 
FRST.txt и Addition.txt - во вложении 

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Выполните очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
2025-05-09 02:23 - 2025-05-09 02:23 - 004965174 _____ C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
HKU\S-1-5-21-3929091353-3144764367-4239951852-500\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
Kachura Новичок

Kachura

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:

Выполните очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
2025-05-09 02:23 - 2025-05-09 02:23 - 004965174 _____ C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
HKU\S-1-5-21-3929091353-3144764367-4239951852-500\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Fixlog.txt

 

 

 

готово

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на комментарий
Поделиться на другие сайты
Kachura Новичок

Kachura

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);


Правильно Вас понимаю, расшифровать файлы не представляется возможным ?

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
2 минуты назад, Kachura сказал:

Правильно Вас понимаю, расшифровать файлы не представляется возможным ?

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Pristan
      Шифровальщик зашифровал сервера Window Server
      Автор Pristan
      Зашифровались почти все сервера на MS Windows server.
      Пример зашифрованных файлов, требования и логи во вложении.
       
      По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.
       
      Спасибо.
      Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt
    • infobez_bez
      Автоматическое перемещение устройства между группами администрирования
      Автор infobez_bez
      Здравствуйте
      интересует такой вопрос:
      Например есть группа администрирования "Карантин" - в ней 0 устройств, управляется политикой, которая ограничивает доступ в сеть, блокирована USB шина и т.д.
      Есть группа администрирования " Не карантин" - в ней например 100 устройств, там своя политика.
       
      В KSC, во вкладке "Устройства/Правила перемещения" - есть возможность настройки автоматического перемещения устройств между группами/ распределенными и нераспределенными устройствами. Для настройки перемещения есть условия сработки правила перемещения (теги, сеть, программы и т.д.).

      Плюс есть вкладка Устройства/Выборки устройств - где собраны различные выборки, с защитой/без защиты, устаревшие базы, есть активные угрозы и т.д.
       
      Хотелось бы выполнить настройку таким образом, чтобы при наличии на устройстве активных угроз оно автоматически перемещалось в группу администрирования "Карантин".

      В правилах перемещения - условия похожего на "наличие активных угроз" - нет, перемещать по попаданию в выборку тоже нельзя, но появилась мысль зацепиться за теги, например, есть активная угроза -> назначается тег -> по тегу устройство автоматически перемещается в группу администрирования "карантин" и на него действует соответствующая политика. Но в тегах тоже ничего подходящего не смог найти.
       
      Подскажите, можно ли выполнить настройку автоматического перемещения устройства между группами администрирования (или между политиками)  по наличию на устройстве активных угроз или нахождения вирусной активности? 
      Используется KSC 14.2 для Windows
    • Kireev
      Зашифровано ant_dec
      Автор Kireev
      Добрый вечер, зашифровало пару рабочих станций, на одной из них хранились старые БД, хотелось бы восстановить, хоть и понимаю, что шансов мало. Если я правильно понял, то эта дрянь создает пользователя user1 и в директорию music копирует свои файлы, а уже от туда начинает процессы свои "черные", есть еще 2 архива, но они 150+ мб. Там и экзешник ant2.exe, enc.exe, но они тоже зашифрованы.
      ProgramData.rar
    • Evg1066
      Зашифрованы файлы, шифровальщик обнаружить не смог, вид зашифрованного файла "<имя_файла>.<тип>.i54m390g5b4"
      Автор Evg1066
      Архив.7zAddition.txtFRST.txt
      Ночью было зашифровано множество файлов, Kaspersky Anti-Ransomware Tool показал присутствие Trojan.Win32.Bazon.a. Вручную обнаружить шифровальщика не получилось.
    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
×
×
  • Создать...