proton Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?

[Evgeniy Alekseevich]

05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.

Файлы имеют расширение helpo2.

Может кто сталкивался и сможет помочь ?

Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.

Также прикладываю файлы от  Farbar Recovery Scan Tool.

Может кто сможет помочь....

С Уважением, Евгений.

 

 

Addition.txt FRST.txt НаборФайлов5шт.zip

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] [Файл уже используется] C:\Windows\SysWOW64\syswow\syswow64.exe
() [Файл не подписан] C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\D19658DBA790F7B35FB1BB928EAF75AA.exe
HKLM\...\Run: [Rmc-LFC65Y] => C:\Windows\SysWOW64\syswow\syswow64.exe [615424 2025-08-06] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ
HKLM\...\Run: [Everything] => C:\Program Files\Everything\Everything.exe [2265104 2024-08-01] (voidtools -> voidtools)
HKLM\...\Policies\Explorer\Run: [Rmc-LFC65Y] => C:\Windows\SysWOW64\syswow\syswow64.exe [615424 2025-08-06] () [Файл не подписан] [Файл уже используется]
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
HKU\S-1-5-21-585105921-1911826014-2128548296-500\...\Run: [Rmc-LFC65Y] => C:\Windows\SysWOW64\syswow\syswow64.exe [615424 2025-08-06] () [Файл не
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\D19658DBA790F7B35FB1BB928EAF75AA.exe [2025-08-06] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
S3 IObitUnlocker; \??\C:\PROGRA~2\IObit\IOBITU~1\IObitUnlocker.sys [X]
2025-08-06 09:15 - 2025-08-06 09:15 - 007987254 _____ C:\ProgramData\D19658DBA790F7B35FB1BB928EAF75AA.bmp
HKLM\...\exefile\shell\open\command: C:\Users\Администратор\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
2025-08-05 20:36 - 2025-08-06 16:06 - 000041472 _____ C:\Windows\svchost.com
2025-08-05 20:00 - 2025-08-05 23:41 - 000000000 ____D C:\ProgramData\IObit
2025-08-05 20:00 - 2025-08-05 23:41 - 000000000 ____D C:\Program Files (x86)\IObit
2025-08-05 20:00 - 2025-08-05 20:00 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
C:\Windows\SysWOW64\syswow\syswow64.exe
2025-08-05 20:12 - 2025-08-05 20:12 - 000000000 _RSHD C:\Windows\SysWOW64\syswow
2025-08-05 20:08 - 2025-08-06 02:49 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Everything
2025-08-05 20:00 - 2025-08-06 08:10 - 000000000 ____D C:\Program Files\Everything
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\D19658DBA790F7B35FB1BB928EAF75AA.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 6 августа пользователем safety

[Evgeniy Alekseevich]

файл загружен, ссылка удалена

ссылка на Quarantine

а файл  Fixlog.txt почему то не сохранился в каталоге из которого запускался FRST, - он открылся, написал, что будет сохранен, но после закрытия в каталоге его не было....

Изменено 6 августа пользователем safety
файл загружен, ссылка удалена

[safety]

судя по карантину скрипт был выполнен

D19658DBA790F7B35FB1BB928EAF75AA.exe - тело шифровальщика Proton:

https://www.virustotal.com/gui/file/557b4ae48dfcf6bc66a6cba54703d6011d1c851232da281b2418453faf64000c?nocache=1

syswow64.exe - бэкдор - A Variant Of Win64/Rescoms.A

https://www.virustotal.com/gui/file/93121ef8643f732ab7f9a2ec03095503c42e996ea44a11c96dc46dfda1498a52/detection

 

С расшифровкой файлов по данному типу шифровальщка, к сожалению, не сможем помочь.

Сэмпл возможно был заражен вирусом Neshta, так как в системе был файл svchost.com

Лучше полностью просканировать системный диск с помощью загрузочного диска KRD

После проверки системы, сделайте новые логи FRST для контроля.

 

 

Изменено 6 августа пользователем safety