proton Зашифровали два ПК в разных городах (видимо через RDP) и ПК в общей сети, плюс файлы на Dropbox

[Laz2516]

Сегодня при запуске ПК обнаружил что требуется вход в учетную запись. На экране на черном фоне надписи, все значки черные с значком биткоина, все файлы на дисках зашифрованы. Причем в сети есть еще ПК с кучей жестких дисков с файлами, фото, документами. Там тоже все зашифровано. Также зашифрованы файлы на Dropbox.

Через RDP на планшете эппл зашел на ПК в другом городе, там тоже самая картина....как проник вирус не понятно, в другом городе ПК работает, но квартира закрыта.

Скачал и установил на флэшку KRD , на локальном ПК, он нашел два трояна /Music/x64/x64-Release/stub.exe

Файлы удалил.

 

Прилагаю отчеты и архив без пароля, там два зашифрованных файла и txt файл вымогателей.

Addition.txt FRST.txt Files.zip

 

Тэг сделал не верно. Не знал что туда написать...(

[safety]

Так понимаю, что вы описываете два разных случая шифрования: один случай с dchelp, другой с proton

это в разных организациях или все в одной и той же?

[Laz2516]

Нет. Это все в домашней сети. И похоже вирус остался на ПК. Сегодня утром снова пришлось входить в учетную запись и снова на экране появилось тестовое сообщение.

Я не знаю что тут подразумевается под тегом..(

Файлы взяты с одного ПК. Где обнаружил. На втором ПК, где просто файловые архивы, установлена Win7. Там сама система запускается, она не пострадала, пострадали только сетевые диски (физические), которые были подключены по сети к основному ПК.

 

На удаленном компьютере по RDP тоже зашифровано. С какой стороны пролез вирус не понятно.

[safety]

Тогда подробнее распишите:

1. какие ПК у вас в домашней, и какая проблема по каждому ПК

2. какие ПК у вас в доступе по RDP и какие проблемы на удаленных ПК, так понимаю что на удаленных ПК пострадали диски, которые были подключены как  сетевые к вашему устройству в домашней сети.

Изменено 27 марта пользователем safety

[Laz2516]

В домашней сети два ПК.

ПК 1  - Win 11 - рабочий, пострадал диск C. Диск D отключил сразу физически, на него даже не заходил. Побоялся. 

Вчера утром при включении этого ПК увидел, что требуется вход в учетную запись (как будто ПК перегрузился). Вошел. Увидел что на рабочем столе черный фон с надписями от мошенников, значки все стали одинаковые с значком  биткоина. И открытый текстовый файл с требованием на рабочем столе. Компьютер выключил, отключил в нем диск D. На этом ПК был доступ к папкам на моем Dropbox. Там тоже все файлы зашифрованы...

 

ПК 2 - Win 7. Это фактически самодельный NAS, но просто с виндой. Там несколько дисков с разными архивами. Они были подключены как сетевые к ПК1.

Отключил его от сети, подключился локально. Все диски зашифрованы, кроме диска C (система работает). Не зашифрованы  также файлы  .exe, на остальных дисках.

 

В другом городе есть ПК 3, Win11, между ним и ПК2 есть настроенные RDP.....но его диски не подключены как удаленные.

Зашел на него по RDP с планшета, увидел что там тоже на экране вымогательство. На диски не заходил. Но наверняка тоже зашифрованы.

Но в квартире там никого нет несколько месяцев.

 

Выключил ПК1 полностью. На ПК 2 скачал KRD, записал образ на флэшку. Проверил ПК 1. Нашелся троян /Music/x64/x64-Release/stub.exe, удалил его.

Встроенная утилита шифрования в KRD ничего не нашла.  Пробовал файлы зашифрованные отправить на сайт nomoreransom.org вместе с txt файлом, сайт не выдал решения.

Нашел этот чат. 

Я так понимаю, что  шифровальщик у меня везде один и тот же. Если решение будет найдено, то может быть восстановлю файлы. 

Изменено 27 марта пользователем Laz2516

[safety]

Хорошо, давайте разбираться с каждым конкретным ПК.

логи FRST и зашифрованные файлы с какого устройства взяты?

 

ПК1:

Скорее всего шифрование завершилось, раз была перезагрузка системы. Можно просто ПК временно изолировать из сети.

Сделайте на этом ПК логи FRST + добавьте (если есть записку о выкупе)+ несколько зашифрованных файлов.

[Laz2516]

Логи вчера взяты с рабочего ПК 1. Сейчас с него же и пишу.  Он сейчас один в сети (RDP на нем отключил). Есть еще макбук в сети, т.к на ПК 1 только браузер работает...и можно запустить .exe-шники.

 

Но сегодня утром снова на ПК 1 требовался вход в учетную запись...

 

Логи FRST , файлы зашифрованные и текстовый файл я приложил сразу в своем первом сообщении  (запустил на ПК 1, записал на флэшку и отправил на форум с макбука, с ПК 1 побоялся отправлять)

Могу еще раз сделать логи...

[safety]

Ясно.

по ПК1: здесь шифрование с помощью Proton Ransomware

 

Из установленных антивирусов: Windef + Kaspersky Anti-Ransomware Tool for Home

увы, вторая утилита не среагировала на шифрование.

AnyDesk сами ставили?

Эту папку заархивируйте с паролем virus, добавьте на облачный диск, дайте ссылку на загрузку в вашем сообщении

*/Music/x64/x64-Release

Если выполнили очистку в KVRT - добавьте отчеты сканирования в архиве, без пароля их этой папки

2026-03-26 20:26 - 2026-03-26 22:11 - 000000000 ____D C:\KRD2024_Data\Reports
 

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2026-03-26 05:04 - 2025-11-02 20:10 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner
2026-03-26 05:09 - 2026-03-26 05:09 - 000001669 _____ C:\Users\Владимир\AppData\Roaming\Microsoft\Windows\Start Menu\HowToRecover.txt
2026-03-26 05:04 - 2026-03-26 05:04 - 000001669 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\HowToRecover.txt
2026-03-26 06:54 - 2026-03-26 06:54 - 001105974 _____ C:\ProgramData\8031642255BB6E11.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

 

 

Изменено 27 марта пользователем safety

[Laz2516]

9 минут назад, safety сказал:

Kaspersky Anti-Ransomware Tool for Home

это я пытался поставить и проверить шифровальщик. Увы не пришло письмо для регистрации на два разных адреса....а без регистрации она не стала работать.(

10 минут назад, safety сказал:

AnyDesk сами ставили?

да, сам. Нужен был временно для доступа к удаленному ПК, когда VNC не работал. Обычно использую VNC, но с дуру как то попробовал RDP

[safety]

Хорошо, выполните очистку ПК1, активной угрозы сейчас нет,

На ПК2, скорее всего шифровальщик не был запущен, шифрование шло с ПК1, шифровались сетевые диски, которые были доступны с ПК1

Если есть удаленный доступ на ПК3, сделайте так же с него логи FRST + записку о выкупе, + несколько зашифрованных файлов в архиве без пароля.

[Laz2516]

7 часов назад, safety сказал:

Если есть удаленный доступ на ПК3, сделайте так же с него логи FRST + записку о выкупе, + несколько зашифрованных файлов в архиве без пароля.

Удаленный доступ есть. Попробую. Чуть позже. Пока что выполняю ваши советы в первом задании.

Репорт

Reports.zip

 

архив с паролем virus папки */Music/x64/x64-Release

 

ссылка -

 

https://disk.yandex.ru/d/XSs6e8thTA4dFQ

[safety]

Хорошо, отвечу немного позже. Буду 1.5 -2 часа вне сети.

[Laz2516]

48 минут назад, safety сказал:

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Может я не правильно сделал?

 

Запустил FRST от имени администратора. Там появилась сразу надпись что программа готова к использованию.

Выделил текст вашего скрипта, нажал копировать.

 

закрыл браузер. в FRST ничего не изменилось...нажал Изменить, практически сразу появилось окно с сообщением о логе и о перезагрузке. Выполнял такое два раза.

Но файл лога только один, возможно перезаписался.

Fixlog.txt

[safety]

1 час назад, Laz2516 сказал:

Удаленный доступ есть. Попробую. Чуть позже. Пока что выполняю ваши советы в первом задании.

Репорт

Reports.zip 2.65 kB · 0 загрузок

Судя по отчету Stub.exe был зачищен в KVRT

Object="@Filesystem[cb1f5b48-278d-b197-f936-34c7629db472]/Users/*/Music/x64/x64-Release/4B76F32ACC0605B4/4B76F32ACC0605B4/x64-Release/Stub.exe"

1 час назад, Laz2516 сказал:

Изменить, практически сразу появилось окно с сообщением о логе и о перезагрузке

Так он и работает, после копирования скрипта в буфер обмена надо наживать кнопку "Исправить", FRST загружает скрипт из буфера обмена и выполняет его. Если в скрипте указана команда Reboot, значит перезагрузит систему.

 

Система на ПК1 очищена, ждем логи и файлы с ПК3

[Laz2516]

Хорошо. Но там труднее будет. Придется туда заходить с макбука....

ПК 2 надо проверять? (файловый архив кторый)