proton Помогите с расшифровкой файлов, с типом шифровальщика не определился

[ShadySS]

Словили шифровальщик на сервере, зашифровал всё: и 1С, и бэкапы, и документы. У зашифрованных файлов рандомное имя (10 символов, в независимости от длины исходного имени) и новое расширение .8gKkbNYH

Система «в рабочем» состоянии, но перезагружалась много раз.

В архиве (пароль 111) пример зашифрованных файлов с требованием злоумышленников и исходники зашифрованных файлов

Addition.txt FRST.txt ПримерФайлов.7z

[safety]

Если систему сканировали Cureit,KVRT или штатным антивирусом, добавьте отчеты сканирования в архиве, без пароля

 

Эту папку добавьте в архив с паролем virus,

2026-04-25 02:25 - 2026-04-25 05:40 - 000000000 ____D C:\Users\Администратор\Desktop\3165CCC2798D9F4D

архив (если небольшой будет размер) загрузите в ваше сообщение.

Если не пойдет по размеру, загрузите на облачный диск и дайте ссылку на скачивание здесь

 

Изменено 26 апреля пользователем safety

[ShadySS]

Пароль на архив virus 111, но указанная папка была пустая, только текстовики HowToRecover.
репорты Cureit и KVRT - по быстрой проверке. Через пару часиков выложу и полную проверку KVRT всех дисков 

cureit.7z report_2026.04.26_12.16.54.klr.enc1.7z virus.7z

[safety]

Cureit ничего не нашел

Total 42680 files (44478 objects) are clean
There are no infected objects detected
Scan time is 00:02:01.479

 

KVRT ничего не нашел

 

Судя по логам FRST файлы были прибиты в WinDef

Путь: containerfile:_C:\Users\Администратор\Desktop\3165CCC2798D9F4D\x64-Release\Stub.exe;

Проверьте карантин Windef, если будет возможность, восстановите stub.exe, заархивируйте с паролем virus, добавьте архив в ваше сообщение.

Восстановленный файл можно затем прибить.

 

[ShadySS]

2 часа назад, safety сказал:

Проверьте карантин Windef,

Дефендер говорит, что в карантине пусто. При попытке получить список файлов в карантине через командную строку выдает ошибку "Failed with hr = 0x800106BA" 

KVRT пока продолжает "полную проверку", нашел trojan.multi.brosubsc.gen в System Memory. Ждем завершения

 

1 час назад, ShadySS сказал:

продолжает "полную проверку"

репорт полной проверки

Reports.7z

[safety]

2 часа назад, ShadySS сказал:

репорт полной проверки

В основном попали файлы от активаторов, сэмплы Proton были прибиты WnDef, скорее всего wndef на момент запуска шифровальщика был отключен, а после перезагрузки системы, когда шифрование уже закончилось, обнаружил и удалил сэмплы Stub.exe

 

Для доп. анализа проверьте ЛС.

 

С расшифровкой файлов по данному типу не сможем помочь

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 26 апреля пользователем safety