proton Зашифрованы файлы - Trojan-Ransom.Win64.Generic

[Сергей_71]

Здравствуйте. Зашифрованы файлы. ОС: Windows 10 22H2 Pro x64. Антивирус Kaspersky Endpoint Security определил и удалил файл: "Удален    троянская программа UDS:Trojan-Ransom.Win64.Generic    C:\Users\Bibadmin\Desktop\766257983B28235B\Win32-Release\Stub.exe". Но файлы на ПК зашифрованы. Система НЕ была переустановлена. Файлы шифровальщика сохранены. Файлы были зашифрованы на рабочем ПК после окончания рабочего дня, обнаружено на следующий день, сб, 22.02.2026. Действующая лицензия на антивирус.

FRST.txt файлы.rar Addition.txt

[safety]

Добавьте отчет по обнаружениям и сканированию из антивируса Касперского, в архиве, без пароля.

Если сэмпл Stub.exe соханился, добавьте этот файл в архив с паролем virus,  загрузите архив в ваше сообщение

 

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2026-02-21 07:50 - 2026-02-21 07:50 - 014336054 _____ C:\ProgramData\1A40AD8CF224C74A.bmp
2026-02-21 06:43 - 2026-02-21 06:48 - 000000000 ____D C:\Users\Bibadmin\Desktop\766257983B28235B
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

[Сергей_71]

Отчет KAV СтFixlog.txtандарт.rar

Проверено на чистом ПК антивирусом Kaspersky Standart.

Ссылка на папку Quarantine: https://disk.yandex.ru/d/lHyRMzPcGQEK9w

Файл stub.exe есть. Я правильно понял, что его нужно прикрепить сюда с паролем?

[safety]

Из отчета видим, что KAV детектирует сэмпл шифровальщика.

Цитата

Сегодня, 22.02.2026 12:44:40;D:\Users\Bibadmin\Desktop\1\766257983B28235B.rar\766257983B28235B\x64-Release\Stub.exe;Обнаружено;Обнаружен вредоносный объект;HEUR:Trojan-Ransom.Win64.Generic;Экспертный анализ;Файл;D:\Users\Bibadmin\Desktop\1\766257983B28235B.rar//766257983B28235B/x64-Release;Stub.exe;Обнаружено;Троянское

 

>>>Файл stub.exe есть. Я правильно понял, что его нужно прикрепить сюда с паролем?

 

Да, прикрепите файл в архиве, с паролем virus, Так как в карантин FRST файл не попал после очистки системы.

 

>>>Kaspersky Endpoint Security определил и удалил файл: "Удален    троянская программа UDS:Trojan-Ransom.Win64.Generic  >>>  C:\Users\Bibadmin\Desktop\766257983B28235B\Win32-Release\Stub.exe". Но файлы на ПК зашифрованы. 

 

Т..е. KES был установлен до шифрования, а среагировал на файлы шифровальщика уже после шифрования?

Или его установили после шифрования?

 

Вообщеv, видим, что папка с инструментами создана днем раньше:

2026-02-21 06:43 - 2026-02-21 06:48 - 000000000 ____D C:\Users\Bibadmin\Desktop\766257983B28235B

и само шифрование произошло 21.02.2026

+

Покажите,пожалуйста, еще эту папку, что в ней, возможно что это дубль папки с инструментами злоумышленника:

D:\Users\Bibadmin\Desktop\1\hi\

Изменено 22 февраля пользователем safety

[Сергей_71]

Stub.rar

В найденной папке с файлом stub.exe также были следующие. Они не нужны?

clean.cmd
Cleaning.bat
netscan.exe
Shadow.bat
kavrenvr.exe

[safety]

по файлу Stub.exe

ESET-NOD32 Win32/Filecoder.Krypt_AGen.A Trojan

Kaspersky HEUR:Trojan-Ransom.Win64.Generic

DrWeb Trojan.Encoder.44383

https://www.virustotal.com/gui/file/790c6e05c2dcdef8a943b407150223ea772ea638b88f0bd689ada761184a127a/detection

 

да, это инструменты, которые использует злоумышленник, в том числе и оф. утилита удаления продуктов Касперского.

+

Покажите,пожалуйста, еще эту папку, что в ней, возможно что это дубль папки с инструментами злоумышленника:

D:\Users\Bibadmin\Desktop\1\hi\

Изменено 22 февраля пользователем safety

[Сергей_71]

Да, там похоже те же файлы, которые я привёл, но они зашифрованы, кроме netscan.exe. Нужно приложить с паролем?

В неизмененном виде они есть.

Изменено 22 февраля пользователем Сергей_71

[safety]

Не надо. Просто удалите эту папку, так как она в скрипт очистки не попала.

+

Для доп. анализа проверьте  ЛС.

 

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 22 февраля пользователем safety