proton ransomware Зашифрованые файлы с разрешением .oI5FA6H5

[Matriza]

Подцепили шифровальщика глупым образом, открыл порт для доступа к одному удаленному рабочему столу на пару дней, не успел закрыть, злоумышленники подключились и за ночь зашифровали всё что было на NAS сервере, все xls, pdf, dt, mdb файлы. Не тронули только архивы и почему-то xlsx файлы. Помогите пожалуйста с расшифровкой файлов.

ДляКасперского.zip

[safety]

Определили с какого устройства был запуск шифровальщика? Можете добавить логи FRST с этого устройства?

[Matriza]

Да, определил, и уже зачистил на нем всё, комп был временный, без кретичной информации

[safety]

Вот эта информация (которую зачистили) могла бы помочь  нам определить тип шифровальщика.

Если сохранились логи сканирования в Cureit, KVRT или штатным антивирусом, добавьте логи в архиве, без пароля.

[Matriza]

Я удалял раздел и переустановил винду, если я сейчас пройдусь восстановлением файлов а потом KVRT есть смыл в этом?

[safety]

Не стоит. Логи могли помочь нам уточнить тип шифровальщика. И все.

Расшифровке файлов это не поможет.

Предположительно, тип шифровальщика - PROTON.

 

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 1 ноября, 2025 пользователем safety

[Matriza]

вот прислали злоумышленники прогу для дешифровки файлов, но после работы дешифровщика файлы не поменялись почему-то, хоть и запускал его непосредственно из папки с зашифрованными файлами (локально)  и от имени администратора. может есть какие-то нюансы?

308321252BCE2ED0A0B009A916A4DAD3.rar

[safety]

Как минимум бросается в глаза, что имя дешифратора не соответствует ID из записки о выкупе.

За дешифратором обращались по контакту из записки, или через посредников?

[Matriza]

Ошиблись с той стороны, перевыслали другой, рабочий

88A53C71A1111770A0B009A916A4DAD3.rar

[safety]

Значит, есть еще на свете честные вымогатели