proton Шифровальфик с расширением SYXmxcO8

[Игорь11222]

Сегодня в ночь зашивровались некоторые файлы, кроме зашифрованных файлов и тектовых документов с требованиями ничего в системе не обнаружено. Файлы зашифровались не все, с 22:00 началось шифрование файлов, в 3:08 оно остановилось. Антивирус никакх угроз не обнаружил

Addition.txt FRST.txt в.zip

[safety]

FRST.txt не полный, скорее всего логи собрали когда еще не завершена полная проверка в FRST.

логи FRST надо переделать, и дождаться завершения проверки.

 

ДрВеб был установлен до шифрования? Нет в журнал обнаружений на момент шифрования?

Выполните поиск на системном диске файлов Stub.exe, Stub64.exe

[Игорь11222]

Да на данно комьютере стоит ДрВеб, также в сети есть компьютер тоже зашифрованный и на нем установлен Касперский. На том комьютере где ДрВеб файлы Stub.exe, Stub64.exe не найдены. На комьютере с Касперским они есть

[safety]

8 минут назад, Игорь11222 сказал:

Да на данно комьютере стоит ДрВеб

Я спросил: "был ли установлен ДрВеб до шифрования, или установили уже после шифрования"?

 

 Добавьте, пожалуйста, найденные файлы Stub*.exe в архив с паролем virus, загрузите архив в ваше сообщение здесь.

 

[Игорь11222]

Да, ДрВеб и был установлен, и на другом зашифрованом компе установлен был Касперский

Переходя в расположение найденых Stub.exe, папки оказываются пустыми. А повторный поиск на компьютере файлов Stub.exe, Stub64.exe не дает результатов

Addition.txt FRST.txt

 

Заметил в некоторых папках видно что есть файлы, захожу в папку и буквально через секунду файлы все пропадают и остается текстовый документ

 

Файл этот оказывается антивирус устранил

 

И еще скрин с найденными угрозами

[safety]

3 часа назад, Игорь11222 сказал:

Файл этот оказывается антивирус устранил

Из карантина можете восстановить файл, заархивировать его паролем virus, поместить архив в ваше сообщение. Антивирус временно отключить на момент восстановления, иначе файл опять прибьется. После отправки архива, файл и архив можно удалить, и защиту включить.

[Игорь11222]

готово

Stub.zip

[safety]

По файлу:

это Proton/Shinra

Kaspersky HEUR:Trojan-Ransom.Win64.Generic

https://www.virustotal.com/gui/file/69add6dc05c7b497d60262e569498e5d1ef6d0474ee5fd16713d0b8392261b78/detection

 

Расшифровка файлов по данному типу, увы, без приватного ключа невозможна.

[Игорь11222]

с файлами можно прощаться? или когда нибудь появится дешифратор?

[safety]

Важные зашифрованные файлы сохраните на отдельный носитель, возможно что расшифровка будет возможной в будущем.

Если будет слив ключей, или полиция доберется до серверов злоумышленников.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);