proton ransomware Зашифрован терминальный сервер 1С

[Nae]

Addition.txtFRST.txt

Система нормально запускается, интересует только восстановление баз 1С.
Спасибо!

файлы и записка.rar

[safety]

Если систему сканировали Если систему сканировали KVRT или Cureit добавьте в архиве без пароля отчеты о сканировании

(вижу что KVRT запускали)

2025-12-19 20:13 - 2025-12-20 01:15 - 000000000 ____D C:\KVRT2020_Data

 

Эти две папки заархивируйте с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание здесь

2025-11-27 06:27 - 2025-11-27 06:44 - 000000000 ____D C:\Users\Administrator\Desktop\Mimik
2025-11-27 06:27 - 2025-11-27 06:44 - 000000000 ____D C:\Users\Administrator\Desktop\857677AEB71E9302 (2)

 

Так понимаю, что шифрование было чуть меньше месяца назад. Только сейчас руки дошли, или только недавно сервер вам передали на проверку?

 

 

Изменено 20 декабря, 2025 пользователем safety

[Nae]

KVRT2020_Data.rar
Да, только передали. Пытались заплатить мошенникам, но получили блокировку карты. Потом запускали биттефендоровский  дешифровальщик (деталей не знаю), но естественно ничего не вышло.
требуемые папки пришлю попозже.

[safety]

Да, это все не поможет,

так как по данному типу нет дешифратора в публичном доступе. и нужен дешифратор именно с вашим приватным ключом, который соответствует ID из записки о выкупе.

 

Судя по логам KVRT все обнаружил, зачистил и отправил в карантин.

 

Это файл  шифровальщика

Цитата

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0516378DBE250AF5857677AEB71E9302.exe

по возможности, восстановите его из карантина, только сразу переименуйте все восстановленные  в *.exe, чтобы избежать их случайного запуска

+ эти файлы:

C:\Users\Administrator\Desktop\857677AEB71E9302 (2)\857677AEB71E9302\Win32-Release\Stub.exe

C:\Users\Administrator\Desktop\857677AEB71E9302 (2)\857677AEB71E9302\x64-Release\Stub.exe

 

Файлы заархивируйте с паролем virus, добавьте архив в ваше сообщение.

Затем файлы можно удалить.

Изменено 20 декабря, 2025 пользователем safety

[Nae]

111111111111.7z
Такое впечатление, что что-то еще живет, т.к. переименовал *.exe в *.e__ так опять стало  *.exe
P.S. Забыл про стартап. Сейчас еще скопирую.

 

 

Startup.7z

Изменено 20 декабря, 2025 пользователем Nae

[safety]

Удалите указанные файлы, папки. Для дополнительного анализа проверьте ЛС.

[safety]

По файлам:

#Proton / #Shinra #Ransomware

https://www.virustotal.com/gui/file/d961af8e19eef5ee1c8f058d405319480d2846f2002bd88a881c539dcc62a3f2/detection

 

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);