Перейти к содержанию

Сначала атаковал вирус neshta, затем отработал шифровальщик, всё зашифровал, расширение npz234. Тип шифровальщика определить не получается.


Рекомендуемые сообщения

Валерий Гурьянов
Опубликовано

Заметили, что атаковал вирус neshta, приобрели антивирус Kaspersky Endpoint Security (расширенный), вычистили при его помощи вирус, защита была включена. Ночью отработал шифровальщик, всё зашифровал, расширение npz234. Тип шифровальщика определить не получается.

Addition.txt FRST.txt Зашифрованные файлы.zip

Опубликовано

Если систему сканировали штатным антивирусом, KVRT или Cureit добавьте отчеты по сканированию, в архиве, без пароля.

Валерий Гурьянов
Опубликовано

Логи CureIt'а 185М, архив получается 15М... Не проходит выгрузка.

Опубликовано

Залейте на облако или файлообменник и дайте ссылку на скачивание.

Опубликовано (изменено)

Судя по повторной проверке зараженных файлов не осталось.

Total 508752 files (571591 objects) are clean
There are no infected objects detected
Total 1 file are raised error condition
Scan time is 00:45:59.323

 

Цитата

что атаковал вирус neshta, приобрели антивирус Kaspersky Endpoint Security (расширенный), вычистили при его помощи вирус, защита была включена

Покажите еще отчет о проверке из Касперского, скорее всего сэмпл мог быть заражен Neshta, по этой причине антивирус реагирует на него как на вирус, а не как на encoder.

 

Изменено пользователем safety
Валерий Гурьянов
Опубликовано

На этом компьютере Касперского не устанавливал... Касперский был на сервере, сервер сейчас не включается. Хотелось бы узнать тип шифровальщика и можно ли расшифровать файлы.

Опубликовано (изменено)

Предположительно это Proton, но чтобы точно определить, надо найти все таки, то чем вас атаковали. Все детекты Neshta - последствие атаки шифровальщика. Шифровальщик был запущен и на текущем устройстве.

Возможно с таким именем: 92952EBAF8326F5EA61BBEB6DB7991A3.exe. или таким Stub.exe, Stub64.exe

92952EBAF8326F5EA61BBEB6DB7991A3.bmp - это файл обоев рабочего стола, добавленный шифровальщиков.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by trust
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: DecrypterFiles@aol.com
HKU\S-1-5-21-3066761974-174399669-2634895922-1392\...\Run: [YandexBrowserAutoLaunch_273D52629866D2A170CF765ABBAA325A] =>
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-11-19 07:24 - 2025-11-19 07:24 - 004915254 _____ C:\ProgramData\92952EBAF8326F5EA61BBEB6DB7991A3.bmp
2025-11-19 05:50 - 2025-11-19 08:59 - 000000044 _____ C:\Windows\directx.sys
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Валерий Гурьянов
Опубликовано (изменено)

FRST отработал. Постараюсь найти файл шифровальщика на другом устройстве и прислать.

Fixlog.txt

 

Нашел исполняемый файл с шифровальщиком. Архив без пароля...

 

Изменено пользователем safety
архив с внедоносом был без пароля
Опубликовано (изменено)
4 часа назад, Валерий Гурьянов сказал:

Нашел исполняемый файл с шифровальщиком.

Да, это Proton.

#Proton #Ransomware

https://www.virustotal.com/gui/file/bf915badb8ac38692d8a4077326cdeba891086e8fa3d18744b453d86961f3615/detection

Так понимаю, что были затронуты шифрованием несколько устройств.

Возможно атаковали несколько устройств в сети, прежде чем получили доступ к серверу.

Если удастся загрузить в работу сервер, можно продолжить анализ распространения шифровальщика.

Так как сейчас информация все разрозненная, логи с одной машины, сэмпл с другой.

 

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • User_2026
      Автор User_2026
      Компьютер заражен шифровщиком. В каждой папке все файлы заменены на *.Vc8wZJlb и рядом текстовый файл RestoreFiles.txt. Помогите определить какой шифровщик.
      Пример зашифрованного файла и RestoreFiles.txt прикрепил.
      test.zip
    • rues247
      Автор rues247
      Проникли через RDP и зашифровали файлы с расширением *.JglTOGt2. Есть шанс расшифровать?
      HowToRecover.txt Addition.txt FRST.txt Shortcut.txt файлы.7z
    • logic-20004
      Автор logic-20004
      Доброе утро всем! Кто-нибудь сталкивался с подобным?

    • Eddd
      Автор Eddd
      Добрый день. Сегодня зашифровали сервер с бд по RDP. К сожалению резервная копия сделана была уже после шифрования. Сам вирус найти не удалось в файлах. Прикладываю архив с паролем virus с примерами зашифрованных файлов и письмом о выкупе и результаты сканирования.FRST.txtAddition.txtfiles.rar
    • Oleg2002
      Автор Oleg2002
      День добрый! Нужна помощь по расшифровке файлов npz234, какие способы есть?
×
×
  • Создать...