proton Поймали шифровальщика

[d357]

photo.zip

Доброго дня. В архиве зашифрованные файлы и их незашифрованные версии. Можно на основе этого создать скрипт?

FRST.txt Addition.txt

[safety]

Пара чистый - зашифрованный  здесь не поможет получить приватный ключ.

Если систему сканировали в KVRT, Cureit или штатным антивирусом, добавьте отчеты о сканировании в архиве, без пароля.

Изменено 31 марта пользователем safety

[d357]

Прикладываю лог.

cureit.zip

[safety]

Судя по логу Cureit ничего не нашел, но запуск шифровальщика был в этой системе, предположительно использовался Stub.exe. возможно что система уже была ранее очищена.

Дешифраторы, которые вы использовали не работают с данным типом шифровальщика. 

Расшифровка файлов по данному типу невозможна без приватного ключа.

Изменено 31 марта пользователем safety

[d357]

rectordecryptor расшифровывает, если оригинал и зашифрованный лежат в одной папке. это как-то может помочь?

 

[safety]

Rectordecryptor в данном случае может только перешифровать файлы тем ключом, который "он нашел" по паре чистый-зашифрованный.

После этого "расшифрованные файлы" не откроются.

Он не предназначен для расшифровки файлов, зашифрованных в Proton.

 

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
S2 AdvancedSystemCareService17; "C:\Program Files (x86)\Advanced SystemCare Pro\ASCService.exe" [X]
S1 jkzfquen; \??\C:\Windows\system32\drivers\jkzfquen.sys [X]
S3 NEProtect; \??\D:\SteamLibrary\steamapps\common\Once Human\NEProtect.sys [X]
2026-03-30 16:56 - 2025-03-21 11:55 - 000008762 _____ C:\Users\adm\advanced_ip_scanner_MAC.bin
2026-03-30 16:56 - 2025-03-21 11:55 - 000000015 _____ C:\Users\adm\advanced_ip_scanner_Comments.bin
2026-03-30 16:56 - 2025-03-21 11:55 - 000000015 _____ C:\Users\adm\advanced_ip_scanner_Aliases.bin
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 31 марта пользователем safety

[d357]

Готово, вот лог.

Fixlog.txt

[safety]

Для доп. анализа проверьте ЛС.

 

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 1 апреля пользователем safety