proton Вирус-шифровальщик, вымогатель

[LexaSLX]

Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt

Addition.txt ориг и шифр.zip

HELP.txt

Изменено 19 августа пользователем LexaSLX

[safety]

Систему сканировали KVRT или Сureit? Можете предоставить логи сканирования или отчеты? в архиве без пароля.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-08-17 01:11 - 2025-08-17 01:11 - 005074998 _____ C:\ProgramData\1D952DEEB88F25A29001B1E8AD24FD1F.bmp
2025-08-16 23:38 - 2025-08-16 23:38 - 000000163 _____ C:\Users\solovyovav\AppData\Roaming\Microsoft\Windows\Start Menu\HELP.txt
2025-08-16 23:00 - 2025-08-16 23:00 - 020386224 ___SH (Famatech Corp. ) C:\Users\Admin\Desktop\._cache_Advanced_Port_Scanner_2.5.3869.exe
2025-08-16 23:00 - 2025-07-06 20:57 - 021157888 ____N (Synaptics) C:\Users\Admin\Desktop\Advanced_Port_Scanner_2.5.3869.exe
2025-08-16 23:18 - 2025-08-16 23:36 - 000000000 ____D C:\Users\Admin\Desktop\9001B1E8AD24FD1F
2025-08-16 23:18 - 2025-08-16 22:12 - 000662016 _____ C:\Users\Admin\Desktop\Stub.exe
2025-08-16 23:06 - 2025-08-16 23:36 - 000000000 ____D C:\Users\Admin\Desktop\Mimik
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 19 августа пользователем safety

[LexaSLX]

Отсканировали KVRT. В приложении отчет

report_2025.08.19_16.36.19.klr.zip

 

отчет скрипта

 

Fixlog.txt

архив загружен, ссылка удалена

 C:\FRST\Quarantine

[safety]

ссылки на файлы из карантина:

Stub.exe - тело шифровальщика.

https://www.virustotal.com/gui/file/50f58e1b319e5df8951615c087e79251caa3a0e9da7d14d967909dd764ae8a0f?nocache=1

Второй файл Stub.exe дополнительно заражен .бэкдором

Kaspersky -- Backdoor.Win32.DarkKomet.hqxy

https://www.virustotal.com/gui/file/d745ed2e991595e7fe8e86610200d20c98b71a331a973b616884e0c6280a16f4/detection

 

Папка Mimik содержит пак инструментов для извлечения паролей, для брута в том числе и mimikatz

----------

 

Что еще. К сожалению в системе был активный вредоносный файл

(explorer.exe ->) (Synaptics) [Файл не подписан] C:\ProgramData\Synaptics\Synaptics.exe

который мог заразить запускаемые исполняемые файлы, в частности KVRT.

            <Event4 Action="Detect" Time="134000847292620935" Object="C:\Users\Admin\Desktop\KVRT.exe" Info="Backdoor.Win32.DarkKomet.hqxy" />

 

Следует проверить еще раз систему с помощью загрузочного диска КRD

и выполнить проверку системы из под загрузочного диска.

 

после проверки в KRD скачайте новый KVRT и сделайте проверку системы из нормльного режима+

добавьте новый отчет о сканировании.

-------------

 

С расшифровкой файлов, к сожалению, не сможем помочь без приватного ключа по данному типу шифровальщика.

 

Общие рекомендации:

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

+

проверьте ЛС.

 

 

Изменено 19 августа пользователем safety

[LexaSLX]

Сделали проверку KRD и KVRT. Отчеты их работы

report_KVRD.zip report_KRD.zip

[safety]

Хорошо, основное тело бэкдора сохранилось на момент очистки системы, думаю, что KRD все почистил как надо.

Object="@Filesystem[6d3ac3b5-871f-7aa2-8a0d-31373afefefd]/ProgramData/Synaptics/Synaptics.exe" Info="Delete" />

 

В большинстве, остальное что было обнаружено, найдено в карантине FRST, т.е было безопасно для системы.

----------------

судя по контрольному запуску KVRT система очистилась от этой "ереси".

        <Block0 Type="Scan" Processed="2284" Found="0" Neutralized="0">

 

Жду ESVC чтобы получить дополнительную инфо о причинах проникновения шифровальщика.

Изменено 20 августа пользователем safety