proton ransomware Здравствуйте, помогите пожалуйста расшифровать файлы после шифрования .crqSq9zU

[Mendari0n]

Здравствуйте, помогите пожалуйста расшифровать файлы после шифрования  .crqSq9zU

Addition.txt FRST.txt Virus.rar

Изменено 5 ноября, 2025 пользователем Mendari0n

[safety]

Пароль какой к архиву Virus?

 

Если систему сканировали KVRT, Cureit или другим антивирусом, добавьте логи сканирования, в архиве,без пароля

[Mendari0n]

Пароль: 051111
Антивирусом не сканировал, отключил от сети сразу чтобы не пошло распространение

[safety]

Этот файл вам известен?

C:\ZKBioTA\bioCat.exe

Он в автозапуске,

HKLM-x32\...\Run: [attserver] => C:\ZKBioTA\bioCat.exe [5407744 2025-11-05] () [Файл не подписан]

и дата создания записи в реестре свежая еще. 2025-11-05

Если нет, то заархивируйте с паролем virus, архив загрузите в ваше сообщение

Процесс следует прибить, если система сейчас загружена.

 

Так же обратите внимание что система может быть заражена вирусом Neshta

2025-11-01 15:50 - 2025-11-05 09:47 - 000041472 _____ C:\Windows\svchost.com

HKLM\...\exefile\shell\open\command: C:\Users\Администратор\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ

 

+

проверьте, что в этой папке кроме сканера NS.exe
2025-11-01 15:48 - 2025-09-23 03:51 - 000169472 _____ C:\Users\Администратор\Desktop\NS..exe

------

Лучше будет пролечить систему с помощью загрузочного диска KRD

 

После завершения проверки, предоставить отчет сканирования KRD, и собрать новые логи FRST.

 

 

 

Изменено 5 ноября, 2025 пользователем safety

[Mendari0n]

C:\ZKBioTA\bioCat.exe - Этот файл известен. 
Лучше будет пролечить систему с помощью загрузочного диска KRD - загрузочную флешку сделать и загрузиться из под нее и пролечить?

[safety]

Да.

[Mendari0n]

К сожалению не получается, загружаюсь в флешки, запускаю вначале что то происходит потом черный экран с мигающим "\".  Видимо делаю что то не так.

[safety]

Попробуйте еще этот диск создать на USB и загрузиться с нее.

https://free.drweb.ru/aid_admin/

[Mendari0n]

Да, получилось, пролечил, логи заново собрал.

Addition.txt FRST.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2025-11-01 16:52 - 2025-11-01 16:52 - 000000972 _____ C:\HowToRecover.txt
2025-11-01 15:50 - 2025-11-05 10:06 - 000000097 _____ C:\Windows\directx.sys
2025-11-01 15:50 - 2025-11-05 09:47 - 000041472 _____ C:\Windows\svchost.com
2025-11-01 15:48 - 2025-09-23 03:51 - 000169472 _____ C:\Users\Администратор\Desktop\NS..exe
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
HKLM\...\exefile\shell\open\command: C:\Users\Администратор\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 6 ноября, 2025 пользователем safety

[Mendari0n]

это делается через командную строку в безопасном режиме?

[safety]

Нет, это выполняется в FRST, в нормальном режиме.

Поправил страницу с рекомендацией по очистке и скриптом.

[Mendari0n]

 

Fixlog.txt

Еще вопрос, был компьютер откуда это все произошло, но на нем была расшарена папка на другой, и там что то успело зашифроваться а что то нет, можно ли использовать файлы и папки к которые не зашифрованы?

[safety]

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[Mendari0n]

Файлы которые не были зашифрованы они угрозы не предоставляют ими можно пользоваться?