proxima Ночью зашифровали сервер на Windows Server 2019. Все файлы с расширением .SyMat

[VaDima32]

Ночью зашифровали сервер на Windows Server 2019 с базой 1С. Все файлы с расширением .SyMat. Есть хоть какой-то шанс восстановить данные?
Заранее спасибо. 
Файлы Логов программы Farbar Recovery Scan Tool, а так же архив с двумя зашифрованными файлами и фаллом письма вымогателей прикрепляю.    

Логи.zip Архив.zip

[safety]

Посмотрите содержимое в этих папках:

2025-03-31 23:44 - 2025-03-31 23:45 - 000000000 ____D C:\Users\Администратор\AppData\LocalLow\Sun
2025-03-31 23:44 - 2025-03-31 23:44 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Sun

-----------

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Winlogon: [LegalNoticeCaption] SyMat Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find SysMatrix_Help.txt file - and follow instructions
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\CompatTelRunner.exeSecurityHealthHost: [Debugger] Hotkey Disabled
IFEO\ConfigSecurityPolicy: [Debugger] Hotkey Disabled
IFEO\DlpUserAgent: [Debugger] Hotkey Disabled
IFEO\MpDefenderCoreService: [Debugger] Hotkey Disabled
IFEO\MpDlpCmd: [Debugger] Hotkey Disabled
IFEO\MpDlpService: [Debugger] Hotkey Disabled
IFEO\mpextms: [Debugger] Hotkey Disabled
IFEO\MRT.exe: [Debugger] Hotkey Disabled
IFEO\MsMpEng: [Debugger] Hotkey Disabled
IFEO\NisSrv: [Debugger] Hotkey Disabled
IFEO\SecurityHealthService: [Debugger] Hotkey Disabled
IFEO\SecurityHealthSystray: [Debugger] Hotkey Disabled
IFEO\smartscreen.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.CloudService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.MountService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.WmiServer.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.EndPoint.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.VssHwSnapshotProvider.exe: [Debugger] Hotkey Disabled
IFEO\VeeamDeploymentSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamHvIntegrationSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamNFSSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamTransportSvc.exe: [Debugger] Hotkey Disabled
IFEO\vmcompute.exe: [Debugger] Hotkey Disabled
IFEO\vmms.exe: [Debugger] Hotkey Disabled
IFEO\vmwp.exe: [Debugger] Hotkey Disabled
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-04-01 00:44 - 2025-04-01 00:44 - 004147254 _____ C:\ProgramData\1b.mp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

Изменено 1 апреля пользователем safety

[VaDima32]

19 minutes ago, safety said:

Посмотрите содержимое в этих папках:

2025-03-31 23:44 - 2025-03-31 23:45 - 000000000 ____D C:\Users\Администратор\AppData\LocalLow\Sun
2025-03-31 23:44 - 2025-03-31 23:44 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Sun

 

Данные из папок поместил в архив

LocalLow-Sun.zip Roaming-Sun.zip

[safety]

Хорошо, нужен теперь Fixlog и карантин.

[VaDima32]

11 minutes ago, safety said:

Хорошо, нужен теперь Fixlog и карантин.

Карантин и фикслог

Fixlog.txt Quarantine.rar

[safety]

Если систему сканировали KVRT или Cureit, добавьте, пожалуйста, логи или отчеты о сканировании в архиве, без пароля.

 

Без приватного ключа, которого у нас нет, расшифровка файлов невозможна по данному типу шифровальщика.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[VaDima32]

6 minutes ago, safety said:

Если систему сканировали KVRT или Cureit, добавьте, пожалуйста, логи или отчеты о сканировании в архиве, без пароля.

 

Без приватного ключа, которого у нас нет, расшифровка файлов невозможна по данному типу шифровальщика.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Очень жаль. Спасибо что попытались.  

[safety]

Помочь с расшифровкой, я как раз и не пытался, потому что знаю, что без приватного ключа расшифровка невозможна для Proxima.

 

Да, проверьте ЛС.

Изменено 1 апреля пользователем safety