proton ransomware Шифровальщик .KfErqP7R

[bex]

Здравствуйте, проконсультируйте пожалуйста. Взлом произошел через RDP, сервер не перезапускался, RDP сеанс через который произошел взлом не закрывался. На локальном диске и сетевой шаре другого сервера присутствуют зашифрованные файлы с расширением KfErqP7R и сообщение о выкупе. В профиле пользователя из под которого произошел взлом, остались папки с программами, но не специалисту сложно судить о их применимости для расшифровки. Логи FRST и архив с зашифрованными файлами прикладываю.

virus.zip FRST.txt Addition.txt

[safety]

Сделайте, пожалуйста, архив этих папок, или папки, если она одна, с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание здесь.

 

Систему сканировали KVRT, Cureit или штатным антивирусом? Можете добавить логи сканирования в архиве, без пароля?

+

-----------

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] C:\Users\HTTP\AppData\Local\Temp\3582-490\NS..exe
(Famatech Corp. -> Famatech Corp.) C:\Users\HTTP\AppData\Local\Temp\3\Advanced IP Scanner 2\advanced_ip_scanner.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Andrey\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\guest1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\test1c\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-10-23 16:42 - 2025-10-23 18:05 - 000000000 ____D C:\Users\HTTP\Desktop\Mimik
2025-10-23 16:35 - 2025-07-31 00:41 - 000202240 _____ C:\Users\HTTP\Desktop\CVE-2017-0213_x64.exe
2025-10-23 16:35 - 2025-05-27 15:57 - 000984064 _____ C:\Users\HTTP\Desktop\BitsArbitraryFileMoveExploit.exe
2025-10-23 16:29 - 2025-07-31 00:41 - 000112640 _____ C:\Users\HTTP\Desktop\AccountRestore2.exe
2025-10-23 16:29 - 2025-06-16 05:14 - 003395072 _____ C:\Users\HTTP\Desktop\ruadmin.exe
2025-10-23 16:29 - 2025-01-17 12:41 - 000083456 _____ C:\Users\HTTP\Desktop\AccountRestore.exe
2025-10-23 16:29 - 2020-02-05 11:10 - 000029184 _____ () C:\Users\HTTP\Desktop\AccountRestore  2.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Изменено 26 октября, 2025 пользователем safety

[bex]

В архиве профиль пользователя из под которого запущен RDP сеанс. Папки и файлы в нем лежат в разных местах, часть в папке Desktop, часть в Documents, часть в Pictures
архив загружен, ссылка удалена

Изменено 26 октября, 2025 пользователем safety
архив загружен, ссылка удалена

[safety]

15 часов назад, bex сказал:

В архиве профиль пользователя из под которого запущен RDP сеанс. Папки и файлы в нем лежат в разных местах, часть в папке Desktop, часть в Documents, часть в Pictures

Спасибо, да, это Proton.

Судя по детекту, сэмпл заражен Neshta.

https://www.virustotal.com/gui/file/78104b5d71ce3034baa0ac176f2ae7c3ba7a571e1fa9f017b6ebc4f4c89cefa9?nocache=1

 

Это сэмпл, очищенный от Neshta

https://www.virustotal.com/gui/file/47117f2d1eec6f1c2b19e1046806edf7512426d3e5201c84767204aa705adb55/detection

 

поэтому следует проверить/пролечить систему из под загрузочного диска KRD

Изменено 27 октября, 2025 пользователем safety

[bex]

16 минут назад, safety сказал:

Сделайте, пожалуйста, архив этих папок, или папки, если она одна, с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание здесь.

 

Систему сканировали KVRT, Cureit или штатным антивирусом? Можете добавить логи сканирования в архиве, без пароля?

+

-----------

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] C:\Users\HTTP\AppData\Local\Temp\3582-490\NS..exe
(Famatech Corp. -> Famatech Corp.) C:\Users\HTTP\AppData\Local\Temp\3\Advanced IP Scanner 2\advanced_ip_scanner.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Andrey\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\guest1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\test1c\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-10-23 16:42 - 2025-10-23 18:05 - 000000000 ____D C:\Users\HTTP\Desktop\Mimik
2025-10-23 16:35 - 2025-07-31 00:41 - 000202240 _____ C:\Users\HTTP\Desktop\CVE-2017-0213_x64.exe
2025-10-23 16:35 - 2025-05-27 15:57 - 000984064 _____ C:\Users\HTTP\Desktop\BitsArbitraryFileMoveExploit.exe
2025-10-23 16:29 - 2025-07-31 00:41 - 000112640 _____ C:\Users\HTTP\Desktop\AccountRestore2.exe
2025-10-23 16:29 - 2025-06-16 05:14 - 003395072 _____ C:\Users\HTTP\Desktop\ruadmin.exe
2025-10-23 16:29 - 2025-01-17 12:41 - 000083456 _____ C:\Users\HTTP\Desktop\AccountRestore.exe
2025-10-23 16:29 - 2020-02-05 11:10 - 000029184 _____ () C:\Users\HTTP\Desktop\AccountRestore  2.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Система ценности особенной не имеет. В текущем ее состоянии она как-то может помочь в дешифровке или ее можно выключить и удалить?

[safety]

15 часов назад, bex сказал:

Система ценности особенной не имеет. В текущем ее состоянии она как-то может помочь в дешифровке

Получим максимум информации из нее о причинах атаки, потом можно решить, что с ней делать.

 

Цитата

Папки и файлы в нем лежат в разных местах, часть в папке Desktop, часть в Documents, часть в Pictures

Эти файлы так же зачистить, что останется.

+

проверьте ЛС.

 

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 27 октября, 2025 пользователем safety