proton ransomware Нужна помощь с расшифровкой файлов

[vladimir_kornienkov]

Добрый день, в 2:00 ночи были зашифрованы все файлы на сервере. Windows 2008 R2 😃 да да, он еще существует

 

Есть письмо с требованием:

Warning: Your files have been stolen and encrypted. 
 
If you want your files back, contact us at the email addresses shown below: 
 
sembekker@aol.com 
 
Telegram: @decrypt_yourfile 
 
# In subject line please write your personal ID 
ID: 3EAB3BB6E939ECF31504E5DC8AE33F61
 
 
Check Your Spam Folder: After sending your emails, please check your spam/junk folder 
regularly to ensure you do not miss our response. 
 
No Response After 24 Hours: If you do not receive a reply from us within 24 hours, 
please create a new, valid email address (e.g., from Gmail, Outlook, etc.) 
and send your message again using the new email address.

 

Что удалось на яндексить по этому шифровальщику:

 

Есть ссылка на гит с этой почтой и телегой: https://github.com/rivitna/Malware/blob/main/Proton/attackers.txt

 Так же, по тому что я увидел на сервере, был влом аккаунта Администратор, в папку моя музыка был закинут архив под название zip и в нем есть содержимое: архив загружен, ссылка удалена

Изменено 26 ноября пользователем safety
архив загружен, ссылка удалена

[Sandor]

Здравствуйте!

 

Выполните также Порядок оформления запроса о помощи

[vladimir_kornienkov]

Во вложении Логи от Farbar Recovery Scan Tool и зашифрованные файлы с требованием

логи.rar файлы.rar

 

Так же, удалось найти временный файл cc69.tmp на 4,17 тб.

Время создания +- конец шифрования сервера

[safety]

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

---------------------

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{5238dea4-1353-4dc7-90ad-5ad2d6927baf} <==== ВНИМАНИЕ (Ограничение - IP)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 27 ноября пользователем safety