proton ransomware Сервера подверглись атаке, шифрование.

[Келл]

Добрый день!
23.12 Подверглись атаке, вирус зашифровал несколько серверов. Предположительно было запущено вручную, обнаружили папку на рабочем столе одного из пользователей "bojblackrz", в ней библиотека и файл "svchost.exe". На одном из серверов лежал парсер mimikatz.
Помогите пожалуйста определить тип шифровальщика, есть-ли дешифратор?
Recover - записка с выкупом.
Пароль на архивы: 1111

Образцы.7z

Recover.7z

Изменено 24 декабря, 2025 пользователем Келл

[safety]

12 минут назад, Келл сказал:

обнаружили папку на рабочем столе одного из пользователей "bojblackrz", в ней библиотека и файл "svchost.exe"

Добавьте содержимое данной папки в архиве с паролем virus

+

необходимы логи FRST с зашифрованного устройства, откуда вы скинули зашифрованные файлы и записку о выкупе

[Келл]

bojblackrz.7zAddition.txtFRST.txt

Прикладываю.

Уже успели затереть его через Malwarebytes, файл из карантина.

[safety]

Это похоже на Proton/Shinra v3

https://www.virustotal.com/gui/file/d792ec4dc1e5fca5dac1f612d86168f36b701e44ea4d13f4cc79b308644f3724/behavior

[Келл]

Для него существуют дешифраторы?

[safety]

Только что, Келл сказал:

Для него существуют дешифраторы?

дешифраторы существуют, но без приватных уникальных ключей, которые создаются в каждой сессии они просто "цифровые кирпичи".

[Келл]

А это не тот ли ключ который в файле Recover?

[safety]

нет,

там только часть ключа, и ключ публичный, которым выполнено шифрование,

а нужен приватный ключ для расшифровки, который есть только у злоумышленников.

-------------

(С ECC/X25519 все несколько иначе происходит, чем с RSA.

приватный ключ используется дешифратором по схеме  DH для восстановления симметричного ключа, которым было выполнено шифрование файла.)

 

Для дополнительного анализа проверьте ЛС.

 

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 25 декабря, 2025 пользователем safety