proton ransomware просим помощи с шифровальщиком lsjx

[SerGUNt]

Здравствуйте.

Взломали компьютер по RDP, зашифровали файлы. Требуют денежку, в текстовых файлах во всех папках раскидали этот файл с контактами. все файлы имеют такой вид: file.[reopening2025@gmail.com].lsjx

Пытался просканировать FRST ,но её вышибало (запускалась и при нажатии сканировать закрывалась), пока не просканировал всю систему с помощью KVRT, он нашёл только один вирус который сидел в системе: System Memory: HEUR:Trojan.Multi.Ifeodeb.a , пришлось вылечить его из памяти после чего FRST заработал. (кроме его ничего не нашлось, я и ничего лишнего не лечил , только из самой памяти).

Все данные прикрепляю.

Так же на рабочем столе есть один не зашифрованный exe файл с названием (WinScan2PDF.exe), что мне показалось странным и я его запаковал на всякий случай как вирус с паролем virus (всё как по мануалу).

Будем благодарны если рассмотрите мою ситуацию и спасёте файлы.

В архиве file.7z файлы с примером зашифрованных файлов и текстовик с вымоганием.

 

virus.7z FRST.7z file.7z

[SerGUNt]

в архиве virus.7z как оказалось скорее всего программа для сканирования с принтера WinScan2PDF.exe , извините 

[safety]

Такие файлы поищите на системном диске:

BC1BEBCD0FAB56E9C6B59F6EBB230948*

Stub.exe, Stub64.exe

[SerGUNt]

Возможно это оно, такой нашёлся только, больше ничего нет

virus.7z

[safety]

да, оно, надо было указать еще и это имя "proton.exe" тоже бывает.

судя по результату проверки, в автозапуске оно уже с именем

BC1BEBCD0FAB56E9C6B59F6EBB230948.exe

https://www.virustotal.com/gui/file/35a9f1e3fe571a1b164d3febb8c53f2b7b6b62ea11a24c94c10de16e06851284/details

[safety]

20 часов назад, SerGUNt сказал:

пока не просканировал всю систему с помощью KVRT, он нашёл только один вирус который сидел в системе: System Memory: HEUR:Trojan.Multi.Ifeodeb.a , пришлось вылечить его из памяти после чего FRST заработал

А файл "Proton.exe" не нашелся в KVRT? Или с другого устройства взяли?

Должен был детектироваться как:

Kaspersky Trojan.Win32.DelShad.ohu

Если базы в KVRT были свежие.

+

проверьте ЛС

Изменено 26 ноября пользователем safety

[SerGUNt]

Взяли с другого устройства в сети

Изменено 26 ноября пользователем SerGUNt

[safety]

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);