proxima Помощь в восстановлении и расшифровке файлов Real.Berserk2000@mailum.com

[ArAREM]

Здравствуйте!
Около двух месяцев назад на корпоративный сервер организации попал вирус-шифровальщик. Все базы данных 1C и важные файлы были зашифрованы. На данный момент уже проведены все мероприятия для восстановления работоспособности и налаживания безопасности, однако после этого инцидента остался жесткий диск с сервера с зашифрованными на нём файлами. Исходя из всех проведенных проверок - самого вирус-шифровальщика на нём уже нет. Файл FRST не смогу предоставить, так как накопитель уже не используется на сервере и по сути просто лежит у обслуживающей организации ожидая выхода дешифратора.
В свою очередь изначально в качестве одного из "условий" сделки, которую мы, естественно, не стали проводить после получения необходимого файла, нам удалось убедить злоумышленников расшифровать один из наших файлов для подтверждения возможности расшифровки. Возможно это как-то поможет в подборе дешифратора.
В архиве будут представлены: текст с требованием, а также два других зашифрованных файла малого размера (архив Files).
Хотел также прикрепить дополнительно образец расшифрованного файла базы данных Excel ДО и ПОСЛЕ расшифровки, но каждый из них весит по 3 мб, поэтому форма заполнения обращения не позволяет прикрепить их оба. В связи с чем в архиве (Sample) прикреплю уже расшифрованный файл. Если дополнительно понадобится версия файла ДО расшифровки, то предоставлю отдельным сообщением.

Files KP.zip Sample.zip

[safety]

Судя по записке о выкупе, это Proxima#BlackShadow, получить ключ по паре чистый-зашифрованный файл будет невозможно.

Помочь расшифровать файлы по данному типу шифровальщика не сможем без приватного ключа.

 

Изменено 13 февраля, 2025 пользователем safety

[ArAREM]

Правильно понимаю, что этот приватный ключ есть только у вымогателей и обращаться в службу поддержки Kaspersky также не имеет особого смысла при таком типе шифровальщика?

[safety]

Выполнил проверку зашифрованного файла скриптом,

Цитата

# Check Proxima/BlackShadow (72) encrypted file
# .Hercul, .Dominik, .Elons, .Abram, .Frank, .Funder, .Key2030, .Arthur,
# .Bpant, .Thomas, .innoken, .innok, .RealBer, .Contacto, .contac, .Xp64

файл корректно зашифрован, и может быть расшифрован при наличие приватного ключа.

Да, ключ в данном случае только у злоумышленников. В ЛК они не отправляют приватные ключи.

При наличие лицензии на продукт Касперского можно обратиться в ТП Касперского и получить официальный ответ.

Так как мы все таки, как консультанты, здесь на форуме, не являемся сотрудниками лаборатории.

----

Вы так же можете проверить важные зашифрованные файлы указанным скриптом.

Потому как какая то часть файлов могла быть повреждена  при шифровании по разным причинам. Если файлы повреждены, то не поможет и наличие приватного ключа.

Изменено 13 февраля, 2025 пользователем safety

[ArAREM]

Понял, попробую тогда обратиться в поддержку.
Большое спасибо за консультацию по данному вопросу!