Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

шифровальщик proton (зашифровано устройство)

Kachura
 Поделиться

Рекомендуемые сообщения

Kachura

Kachura

Опубликовано
Опубликовано

Доброго дня.
Возможно вы сможете мне помочь, на текущий момент удалось определить тип шифровальщика "Proton", хотя аббревиатура нигде такая не встречается, но текстовка и стиль шифрования один.
Спасибо 

#HowToRecover.txt Addition.txt arh.rar FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Kachura

Kachura

Опубликовано
  • Автор
Опубликовано
43 минуты назад, safety сказал:

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt


Правильно понимаю после проверки, все найденные "вирусы" - лечим ?
а потом уже непосредственно логи ?
 

Ссылка на комментарий
Поделиться на другие сайты
Kachura

Kachura

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Да, это Proton, но судя по файлу:

2025-05-09 02:24 - 2025-05-12 13:20 - 000041472 _____ C:\Windows\svchost.com

сэмпл шифровальщика мог быть дополнительно заражен Neshta,

поэтому лучше проверить систему либо KVRT, либо (надежнее) с загрузочного диска KRD

-----------

после проверки добавьте новые логи FRST, оба файла FRST.txt и Addition.txt


готово, 
FRST.txt и Addition.txt - во вложении 

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Выполните очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
2025-05-09 02:23 - 2025-05-09 02:23 - 004965174 _____ C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
HKU\S-1-5-21-3929091353-3144764367-4239951852-500\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
Kachura

Kachura

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:

Выполните очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
2025-05-09 02:23 - 2025-05-09 02:23 - 004965174 _____ C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
HKU\S-1-5-21-3929091353-3144764367-4239951852-500\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\C0B210BCD20A85A3E72FE911B3921A4E.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Fixlog.txt

 

 

 

готово

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на комментарий
Поделиться на другие сайты
Kachura

Kachura

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);


Правильно Вас понимаю, расшифровать файлы не представляется возможным ?

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано
2 минуты назад, Kachura сказал:

Правильно Вас понимаю, расшифровать файлы не представляется возможным ?

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Пользователь13
      Лишние устройства в нераспределенных устройствах
      Автор Пользователь13
      Добрый день, Коллеги.
      Есть проблема. В АДшке висят компьютеры по некоторым папкам, которые на данный момент выключены и пока включаться не собираются. 
      Я хочу убрать из касперского чтобы не мешались. В разделе обнаружение устройств, в папках АД я отключал их папку для обнаружение, но они всё равно обнаруживаются.
    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • hiveliberty
      Шифровальщик зашифровал на уровне разделов
      Автор hiveliberty
      Доброго дня,
      Коллеги столкнулись вчера с интересным шифровальщиком

      Windows Server 2022
      Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
      С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
      И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
      Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
      Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
      Пробовал отправлять куски через Virustotal - ни одного срабатывания.
      Пока прикреплять не стал, согласно правилам)

      Доступа к диску, естественно, нет и файлы никакие не получить.
      Доступен только диск загрузчика и Recovery

      По большому счёту интересно, можно ли с этим что-то делать.
      И в целом, новое что-то?

      Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
      Те спросили имя домена, серверов или их айпишники.
      По имени домена предоставили список файлов с паролями, скрин.

    • cringemachine
      Перенос устройств с одного виртуального сервера на другой
      Автор cringemachine
      Коллеги, доброго.
      Надо перенести несколько устройств с одного вирт. сервера на другой вирт. сервер.
      Создаю задачу Смена сервера администрирования. Может кто уже сталкивался - в каком формате указывать адрес нового сервера (см. скриншот)?

       
      Подозреваю, что должно быть что-то вроде «<IP-адрес главного сервера>/<Наименование виртуального сервера>"».
    • PitBuLL
      Подключение посторонних устройств по Wi-Fi
      Автор PitBuLL
      Wi-Fi TP-Link Archer C5-AC1200.
      С момента его покупки, почти два года назад, у провайдера, установки и настройки техником провайдера - периодически вижу в настройках роутера посторонние подключения устройств по Wi-Fi. 
      Сразу, после покупки, установке и настройке роутера техником - на следующий день обнаружил 4 чужих подключенных устройства. Поменял тогда пароль от роутера (15 символов), поменял пароль от Wi-Fi (30+ символов).
      Через некоторое время опять стали подключаться чужие устройсва.
      Вызывал техника. Со слов техника он обновил прошивку , вернее установил предыдущую версию. Пароли опять были сменены. Через некоторое время опять стали подключаться чужие устройсва.
      И вот опять посторонние подключения. Я уже настройки роутера сбросил к заводским (Reset) и поменял пароли от роутера (15 символов) а  на Wi-Fi (30+ символов).
      Как подключаются посторонние? Взламывают 15-ти значный пароль от роутера или 30+ значный пароль от Wi-Fi? 
      Доступ к ПК с которого вхожу в настройки роутера только у меня.
      30+ значный пароль от Wi-Fi даже домашние не знают. Ввел пароль на их мобильных устройствах один раз, теперь подключаются автоматически (их устройства пароль запомнили, как в принципе и должно быть).
      И тем более ни кто из семьи не сливал пароль от  Wi-Fi соседям, посторонним людям. Ни когда гости не подключались к моей сети Wi-Fi.
       
×
×
  • Создать...