proton Помогите расшифровать dbx5

[Viktorkmsfa]

Здравствуйте поймали шифровальщика с таким запросом :

 

>>> ALL YOUR FILES HAVE BEEN ENCRYPTED <<<

Your Unique ID: ***

---

What Happened?  
Your files have been encrypted due to a critical security  
breach on your system. Unauthorized access was achieved  
via exploited vulnerabilities in your network or software.
All your files can be decryption with the private key and they are not damaged.

To recover your data, you must purchase a decryption  
utility developed specifically for your Remot.

Include your unique ID in the subject line and contact us  
via Telegram or gmail with following email addresses:
  - Supdic911@mailfence.com
  - Suphelp911@gmail.com
  - @Suphelp911

You may submit one file (under 1MB) for free decryption —  
this serves as proof of our ability to restore your data

 

отследить откуда зашел не удалось

есть ли способы как то расшифровать файлы?

READ-ME.txt Баланс 2016.rar

Изменено 23 октября пользователем safety

[safety]

Добавьте логи FRST из зашифрованной системы.

[Viktorkmsfa]

19 минут назад, safety сказал:

Добавьте логи FRST из зашифрованной системы.

не грузится , ни с зеркала не прямая , но есть такой лог

dir.rar

[Sandor]

Залил на облако, пробуйте скачать.

[Viktorkmsfa]

32 минуты назад, Sandor сказал:

Залил на облако, пробуйте скачать.

спасибо большое , высылаю файлы

FRST.txt Addition.txt

[safety]

FRST урезанный получился, переделайте лог, дождитесь, пока завершится проверка, и откроются файлы FRST.txt и Addition.txt

[Viktorkmsfa]

5 минут назад, safety сказал:

FRST урезанный получился, переделайте лог, дождитесь, пока завершится проверка, и откроются файлы FRST.txt и Addition.txt

 

Addition.txt FRST.txt

[safety]

Систему сканировали KVRT, Cureit или штатным антивирусом? Можете добавить логи сканирования в архиве, без пароля?

+

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1434669338&z=eef7005b3e08781c9ec9d1fg3zec0z8q1qct5c8c8q&from=cmi&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3F4NKAY84KAY84&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1434669338&z=eef7005b3e08781c9ec9d1fg3zec0z8q1qct5c8c8q&from=cmi&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3F4NKAY84KAY84&q={searchTerms}
Toolbar: HKU\S-1-5-21-21801838-3438382265-2257636569-1001 -> Нет имени - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  Нет файла
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e691adaeeef8ec3d89cb9e5b59ab2ace&text= <==== ВНИМАНИЕ
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1433323878&z=99e4a5454b119d94979b0d0g9z9c3cbc1odc2b4m9b&from=cmi&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3F4NKAY84KAY84
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1434669338&z=eef7005b3e08781c9ec9d1fg3zec0z8q1qct5c8c8q&from=cmi&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3F4NKAY84KAY84&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1434669338&z=eef7005b3e08781c9ec9d1fg3zec0z8q1qct5c8c8q&from=cmi&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3F4NKAY84KAY84&q={searchTerms}
HKU\S-1-5-21-21801838-3438382265-2257636569-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=dspp&ts=1432629886&z=38062fe94126d02a0f81a22gaz7c3o7qfobtab6b7b&from=cmi&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3F4NKAY84KAY84&q={searchTerms}
HKU\S-1-5-21-21801838-3438382265-2257636569-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=dspp&ts=1432629886&z=38062fe94126d02a0f81a22gaz7c3o7qfobtab6b7b&from=cmi&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3F4NKAY84KAY84&q={searchTerms}
SearchScopes: HKU\S-1-5-21-21801838-3438382265-2257636569-1001 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2261464
SearchScopes: HKU\S-1-5-21-21801838-3438382265-2257636569-1001 -> 31E7F5346443B1511710F1476A1AADF3 URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3F4NKAY84KAY84&ts=1434669373&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-21801838-3438382265-2257636569-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3F4NKAY84KAY84&ts=1434669373&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-21801838-3438382265-2257636569-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3F4NKAY84KAY84&ts=1434669373&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-21801838-3438382265-2257636569-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://yandex.ru/search/?win=190&clid=2101154&text={searchTerms}
SearchScopes: HKU\S-1-5-21-21801838-3438382265-2257636569-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3F4NKAY84KAY84&ts=1434669373&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-21801838-3438382265-2257636569-1001 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2261464
SearchScopes: HKU\S-1-5-21-21801838-3438382265-2257636569-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD10EZEX-08M2NA0_WD-WCC3F4NKAY84KAY84&ts=1434669373&type=default&q={searchTerms}
BHO: Нет имени -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> Нет файла
BHO-x32: Нет имени -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> Нет файла
Toolbar: HKU\S-1-5-21-21801838-3438382265-2257636569-1001 -> Нет имени - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  Нет файла
HKLM\...\Run: [gpuminer] => C:\Users\sveta\AppData\Roaming\cpuminer\sgminer\sgminer.cmd [ ]
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {A53B3065-4701-4E3E-A1A8-36A6EF42C94D} - \Microsoft OneDrive Auto Update Task-S-1-5-21-21801838-3438382265-2257636569-500 -> Нет файла <==== ВНИМАНИЕ
Task: {CFA0ACA9-D62B-4891-8353-E4F1A6FADE56} - System32\Tasks\JGu3XiGSHgRtl4eWbazi => C:\Users\sveta\AppData\Roaming\JGu3XiGSHgRtl4eWbazi.exe  --c=qZVVrpVBDdyVy5LqqY6SacAFr9G3K/o9h5e64pzirjgTxp5M52evzUeOqMJ+VvGzkHst4lnbHH83AjFHJdPX66gBPYn5/tEOCXYZbuBBb6fbx3eDxpDapPE0LWsDBC7HjyEDcuGDb0rvlUsEweja4g4m0C5BTT1v9rz9eX0j041s/9r+7PkoXO5gHGzXMQ+PwiSGgnEON7O7MYgTEcwJn0/ePYIH2VlzRPnaRjNYY5aJdLmkCWT0EFyUIGWXLWezbWr+lqQ2XROUND4PKD6S/lr4rBw4yq8g+y2FogPf (запись имеет ещё 48 символов). (Нет файла) <==== ВНИМАНИЕ
Task: {6015CE78-0B1B-45C9-9281-23F860B33DBF} - System32\Tasks\n7VqyodV8MBI4g => C:\Users\sveta\AppData\Roaming\n7VqyodV8MBI4g.exe  --c=B5U4mKcupjzzgvmEGmlkabX5hsbsA9hI4me4Y3ljC3kGxqK+zwAlm0tGZoDH73R4PupvEgjGra+BPp+2zD0xANLg4FoFBAZN+dPivmMajF0MRsivO1ARB7H57VWym+1/vSh5HjCc+9pJDw8Ky6zGHpXpWq8CCh7Nncmghqcu2EM2XEydDCPWI2uxwCgquxU2pjtaua7JpJz1pfczrqUk4C/U3lxs4GSxlc3Imtxwn9bvZm9RJg3NWjmiIjy1o2BK7G4zj6BVPM6dbci/C1I3aAgfP0BD23Fi//pSnIDP (запись имеет ещё 48 символов). (Нет файла) <==== ВНИМАНИЕ
Task: {C3876613-3BB7-41FB-9336-1A3D38C09268} - System32\Tasks\TpmN7isKhiH1yfRQD6ZyOCjaB => C:\Users\sveta\AppData\Roaming\TpmN7isKhiH1yfRQD6ZyOCjaB.exe  --c=tXrODIPG7LwOUvKAxSm/X+LQ/onSKLTUnwa5Eydz8ewGfaiVmEjQtylIrx89cBTzRPmZEoxo9eopBgkTRcGHvv6ym/GWl0vsEt4u8vtjw40KbrOnoihH1bgid19TtYKyGMz0Y43GL7DqCMk4uJdAxFMZKeBVELTRzpj+rPyNmxp0BAqzdtN6NUKvCKMeTelFrjAJ7vte+nSlyb12LXseXPgMdMlhTsY+RHNwZm40fPOpk6DBnm7jDk+5vp0nbgyL6pe/5oFzWg4lM5H82hdrb6IOwuOPnKvtaei+sp3p (запись имеет ещё 48 символов). (Нет файла) <==== ВНИМАНИЕ
Task: C:\Windows\Tasks\6etX6jiCGfxGkkfsFQOChHz.job => C:\Users\sveta\AppData\Roaming\6etX6jiCGfxGkkfsFQOChHz.exe <==== ВНИМАНИЕ
Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe <==== ВНИМАНИЕ
Task: C:\Windows\Tasks\JGu3XiGSHgRtl4eWbazi.job => C:\Users\sveta\AppData\Roaming\JGu3XiGSHgRtl4eWbazi.exe <==== ВНИМАНИЕ
Task: C:\Windows\Tasks\n7VqyodV8MBI4g.job => C:\Users\sveta\AppData\Roaming\n7VqyodV8MBI4g.exe <==== ВНИМАНИЕ
Task: C:\Windows\Tasks\TpmN7isKhiH1yfRQD6ZyOCjaB.job => C:\Users\sveta\AppData\Roaming\TpmN7isKhiH1yfRQD6ZyOCjaB.exe <==== ВНИМАНИЕ
2025-10-23 02:30 - 2025-10-23 02:30 - 007925814 _____ C:\ProgramData\A2231B30641DE009D6923FD59E5336AB.bmp
2025-10-23 02:11 - 2025-10-23 02:11 - 000001652 _____ C:\Users\sveta\AppData\Roaming\Microsoft\Windows\Start Menu\READ-ME.txt
2025-10-23 01:16 - 2025-10-23 01:16 - 000001652 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\READ-ME.txt
2025-10-23 01:16 - 2025-10-23 01:16 - 000001652 _____ C:\Users\Default\AppData\Local\READ-ME.txt
2025-10-23 01:16 - 2025-10-23 01:16 - 000001652 _____ C:\ProgramData\Microsoft\Windows\Start Menu\READ-ME.txt
2025-10-23 01:08 - 2025-10-23 01:08 - 000001652 _____ C:\Users\READ-ME.txt
2025-10-23 01:08 - 2025-10-23 01:08 - 000001652 _____ C:\READ-ME.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[Viktorkmsfa]

7 часов назад, safety сказал:

***

 

 

Fixlog.txt

 

https://cloud.mail.ru/public/n7ga/RBe2Ng97Z

 

 

Reports.rar

Изменено 23 октября пользователем safety

[safety]

Сэмпл Proton не нашелся, возможно что был удален вручную или самоудалился.

 

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[Viktorkmsfa]

48 минут назад, safety сказал:

***

Да все пункты , кроме 1 и были

Изменено 23 октября пользователем safety