proton Вирус-шифровальщик

[dma164]

Здравствуйте!

Путем взлома RDP были зашифрованы файлы на машине, а также на доступных ей сетевых дисках, получили расширение .lsjx. При этом на машине был удален KES через KAVRemover, установлены приложения для сканирования портов.

После проверки CureIT было найдено множество файлов, зараженных вирусом Neshta. В автозагрузке был обнаружен файл шифровальщика (?), классифицируемый Касперским как Trojan-Ransom.Win32.Generic и с именем, совпадающим с ID в  письме . Лог CureIT 11 Мб- не прикладывается

FRST.txt файлы.zip

[safety]

12 минут назад, dma164 сказал:

Лог CureIT 11 Мб- не прикладывается

Добавьте в архив без пароля. Архив добавьте в ваше сообщение. Если по размеру не пройдет, тогда загрузите на облачный диск и дайте ссылку на скачивание здесь.

[dma164]

https://disk.yandex.ru/d/6rIzGJLQXxXKYw

[safety]

Это один из приемов злоумышленников, когда используют зараженный Neshta сэмпл шифровальщика.

От Neshta пролечили систему? есть новые детекты после очистки в Cureit? Cureit имеет смысл загрузить заново, чтобы не было его заражения. По хорошему Neshta надо лечить из под загрузочного диска. Например KRD.

После очистки в KRD сделать новые логи FRST.

1 час назад, dma164 сказал:

В автозагрузке был обнаружен файл шифровальщика (?), классифицируемый Касперским как Trojan-Ransom.Win32.Generic и с именем, совпадающим с ID в  письме

Этот файл добавьте в архив с паролем virus и загрузите в ваше собщение.

Изменено Среда в 13:26 пользователем safety

[dma164]

CA6E91E163871D19C6B59F6EBB230948.zip

11 минут назад, safety сказал:

От Neshta пролечили систему? есть новые детекты после очистки в Cureit? Cureit имеет смысл загрузить заново, чтобы не было его заражения. По хорошему Neshta надо лечить из под загрузочного диска. Например KRD.

После очистки в KRD сделать новые логи FRST.

Этот файл добавьте в архив с паролем virus и загрузите в ваше собщение.

Да, пролечил

[safety]

Addition.txt так же нужен для проверки.

[dma164]

1 минуту назад, safety сказал:

Addition.txt так же нужен для проверки.

А почему он не создался (запускал в режиме восстановления)?

[safety]

понятно, там он не создается.

 

скрипт очистки сейчас добавлю

 

судя по детектам на VT  - это Proton.

ESET-NOD32 A Variant Of Win64/Filecoder.Proton.A

https://www.virustotal.com/gui/file/35a9f1e3fe571a1b164d3febb8c53f2b7b6b62ea11a24c94c10de16e06851284?nocache=1

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
Task: {1063B4E0-300E-41AE-86C2-B9B06AA3046A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {267191B8-4F26-4405-9126-3AE3D8A69630} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {31E49B13-993F-40BD-868B-97454EC1A383} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {5FE0A392-6F47-4796-882D-2CDF124837BF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {734D638B-C112-4456-8941-1CA2E8323B13} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {9B83411E-8FE8-4930-B4D4-BEE7DF42FD5D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {A67B1122-5D42-4439-BC87-407E0A2FB3D5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {B4BFA7C7-C002-41B2-8C8A-D8EE6BADA06F} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {F3C44DDA-BCCA-479B-AC6C-4B46BB85F5A0} - \Microsoft\Windows\Setup\EOONotify -> No File <==== ATTENTION
2025-09-17 04:09 - 2025-09-17 10:58 - 004032486 _____ C:\ProgramData\CA6E91E163871D19C6B59F6EBB230948.bmp
2025-09-17 03:02 - 2025-09-17 03:02 - 000000612 _____ C:\#HowToRecover.txt
2025-09-17 02:36 - 2024-08-24 06:28 - 020386224 _____ (Famatech Corp. ) C:\Users\1\Desktop\Advanced_Port_Scanner_2.5.3869.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Проверяем работоспособность системы.

+

Проверьте ЛС.

Изменено Среда в 13:24 пользователем safety

[dma164]

14 минут назад, safety сказал:

понятно, там он не создается.

 

скрипт очистки сейчас добавлю

 

судя по детектам на VT  - это Proton.

ESET-NOD32 A Variant Of Win64/Filecoder.Proton.A

https://www.virustotal.com/gui/file/35a9f1e3fe571a1b164d3febb8c53f2b7b6b62ea11a24c94c10de16e06851284?nocache=1

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
Task: {1063B4E0-300E-41AE-86C2-B9B06AA3046A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {267191B8-4F26-4405-9126-3AE3D8A69630} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {31E49B13-993F-40BD-868B-97454EC1A383} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {5FE0A392-6F47-4796-882D-2CDF124837BF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {734D638B-C112-4456-8941-1CA2E8323B13} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {9B83411E-8FE8-4930-B4D4-BEE7DF42FD5D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {A67B1122-5D42-4439-BC87-407E0A2FB3D5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {B4BFA7C7-C002-41B2-8C8A-D8EE6BADA06F} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {F3C44DDA-BCCA-479B-AC6C-4B46BB85F5A0} - \Microsoft\Windows\Setup\EOONotify -> No File <==== ATTENTION
2025-09-17 04:09 - 2025-09-17 10:58 - 004032486 _____ C:\ProgramData\CA6E91E163871D19C6B59F6EBB230948.bmp
2025-09-17 03:02 - 2025-09-17 03:02 - 000000612 _____ C:\#HowToRecover.txt
2025-09-17 02:36 - 2024-08-24 06:28 - 020386224 _____ (Famatech Corp. ) C:\Users\1\Desktop\Advanced_Port_Scanner_2.5.3869.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Проверяем работоспособность системы.

+

Проверьте ЛС.

Делать в режиме восстановления или  напрямую?

[safety]

Скрипт очистки имеете ввиду? Можно в нормальном режиме, в автозапуске нет сэмпла шифрования.

[dma164]

Ошибочно запустил скрипт 2 раза.

Addition.txt Fixlog.txt

[safety]

Эти программы были установлены злоумышленниками, их надо деинсталлировать.

 

Advanced Port Scanner 2.5,Famatech,17.09.2025 03:38:17,2.5.3869

Wise Force Deleter,"Lespeed Technology Co., Ltd.",17.09.2025 03:28:35,1.5.5

 

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

 

Изменено Четверг в 12:52 пользователем safety