proton Проникли через RDP зашифровали файлы

[Sergey7D]

Проникли через RDP и зашифровали файлы с расширением *.Pa1avswp.  Есть ли шанс дешифровать файлы? 

Отчет FRST:

FRST.txtShortcut.txtAddition.txt

+ послание:

HowToRecover.txt

drwebcureit перезапускал несколько раз, отчет от 1 раза перезаписан на последний, его надо приложить?

[safety]

Добавьте лог Cureit в архиве, без пароля + несколько зашифрованных файлов.

 

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Restriction <==== ATTENTION
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
Startup: C:\Users\Ольга\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1C.lnk [2026-01-25]
ShortcutTarget: 1C.lnk -> C:\ProgramData\TEMP\1С.vbs (No File)
GroupPolicy: Restriction ? <==== ATTENTION
2026-03-25 15:41 - 2026-03-25 16:31 - 000000676 _____ C:\Users\Ольга\Desktop\ss.txt
2026-03-25 15:39 - 2026-03-25 15:41 - 285583160 _____ C:\Users\Ольга\Desktop\74nqde50.com
2026-03-25 15:38 - 2026-03-25 15:38 - 009109558 _____ C:\ProgramData\5020541A48F4895F.bmp
2026-03-17 21:59 - 2026-03-25 15:16 - 000000000 ____D C:\Users\Ольга\Documents\x64-Release
2026-03-17 21:55 - 2026-03-25 15:16 - 000000000 ____D C:\Users\Ольга\Documents\Mimitz
2026-03-17 21:54 - 2026-03-25 15:16 - 000000000 ____D C:\Users\Ольга\Documents\x64
2026-03-17 21:49 - 2026-03-25 15:16 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner
2026-03-17 21:49 - 2026-03-17 21:49 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced IP Scanner v2
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

Изменено 26 марта пользователем safety

[Sergey7D]

Прикладываю запрошенные файлы:cureit.rar

https://disk.yandex.ru/d/6ALi3WN_sRl6zQ

vir.rar Fixlog.txt

[safety]

Для доп. анализа проверьте ЛС.

------------

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 26 марта пользователем safety