VaDima32 Опубликовано 1 апреля Поделиться Опубликовано 1 апреля Ночью зашифровали сервер на Windows Server 2019 с базой 1С. Все файлы с расширением .SyMat. Есть хоть какой-то шанс восстановить данные? Заранее спасибо. Файлы Логов программы Farbar Recovery Scan Tool, а так же архив с двумя зашифрованными файлами и фаллом письма вымогателей прикрепляю. Логи.zip Архив.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 1 апреля Поделиться Опубликовано 1 апреля (изменено) Посмотрите содержимое в этих папках: 2025-03-31 23:44 - 2025-03-31 23:45 - 000000000 ____D C:\Users\Администратор\AppData\LocalLow\Sun 2025-03-31 23:44 - 2025-03-31 23:44 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Sun ----------- по очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Winlogon: [LegalNoticeCaption] SyMat Ransomware HKLM\...\Winlogon: [LegalNoticeText] - All your files are stolen and encrypted - Find SysMatrix_Help.txt file - and follow instructions HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ IFEO\CompatTelRunner.exeSecurityHealthHost: [Debugger] Hotkey Disabled IFEO\ConfigSecurityPolicy: [Debugger] Hotkey Disabled IFEO\DlpUserAgent: [Debugger] Hotkey Disabled IFEO\MpDefenderCoreService: [Debugger] Hotkey Disabled IFEO\MpDlpCmd: [Debugger] Hotkey Disabled IFEO\MpDlpService: [Debugger] Hotkey Disabled IFEO\mpextms: [Debugger] Hotkey Disabled IFEO\MRT.exe: [Debugger] Hotkey Disabled IFEO\MsMpEng: [Debugger] Hotkey Disabled IFEO\NisSrv: [Debugger] Hotkey Disabled IFEO\SecurityHealthService: [Debugger] Hotkey Disabled IFEO\SecurityHealthSystray: [Debugger] Hotkey Disabled IFEO\smartscreen.exe: [Debugger] Hotkey Disabled IFEO\Veeam.Backup.CloudService.exe: [Debugger] Hotkey Disabled IFEO\Veeam.Backup.MountService.exe: [Debugger] Hotkey Disabled IFEO\Veeam.Backup.Service.exe: [Debugger] Hotkey Disabled IFEO\Veeam.Backup.WmiServer.exe: [Debugger] Hotkey Disabled IFEO\Veeam.EndPoint.Service.exe: [Debugger] Hotkey Disabled IFEO\Veeam.VssHwSnapshotProvider.exe: [Debugger] Hotkey Disabled IFEO\VeeamDeploymentSvc.exe: [Debugger] Hotkey Disabled IFEO\VeeamHvIntegrationSvc.exe: [Debugger] Hotkey Disabled IFEO\VeeamNFSSvc.exe: [Debugger] Hotkey Disabled IFEO\VeeamTransportSvc.exe: [Debugger] Hotkey Disabled IFEO\vmcompute.exe: [Debugger] Hotkey Disabled IFEO\vmms.exe: [Debugger] Hotkey Disabled IFEO\vmwp.exe: [Debugger] Hotkey Disabled GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ 2025-04-01 00:44 - 2025-04-01 00:44 - 004147254 _____ C:\ProgramData\1b.mp Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении. Изменено 1 апреля пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
VaDima32 Опубликовано 1 апреля Автор Поделиться Опубликовано 1 апреля 19 minutes ago, safety said: Посмотрите содержимое в этих папках: 2025-03-31 23:44 - 2025-03-31 23:45 - 000000000 ____D C:\Users\Администратор\AppData\LocalLow\Sun 2025-03-31 23:44 - 2025-03-31 23:44 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Sun Данные из папок поместил в архив LocalLow-Sun.zip Roaming-Sun.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 1 апреля Поделиться Опубликовано 1 апреля Хорошо, нужен теперь Fixlog и карантин. Ссылка на комментарий Поделиться на другие сайты Поделиться
VaDima32 Опубликовано 1 апреля Автор Поделиться Опубликовано 1 апреля 11 minutes ago, safety said: Хорошо, нужен теперь Fixlog и карантин. Карантин и фикслог Fixlog.txt Quarantine.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 1 апреля Поделиться Опубликовано 1 апреля Если систему сканировали KVRT или Cureit, добавьте, пожалуйста, логи или отчеты о сканировании в архиве, без пароля. Без приватного ключа, которого у нас нет, расшифровка файлов невозможна по данному типу шифровальщика. теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист); Ссылка на комментарий Поделиться на другие сайты Поделиться
VaDima32 Опубликовано 1 апреля Автор Поделиться Опубликовано 1 апреля 6 minutes ago, safety said: Если систему сканировали KVRT или Cureit, добавьте, пожалуйста, логи или отчеты о сканировании в архиве, без пароля. Без приватного ключа, которого у нас нет, расшифровка файлов невозможна по данному типу шифровальщика. теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист); Очень жаль. Спасибо что попытались. Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 1 апреля Поделиться Опубликовано 1 апреля (изменено) Помочь с расшифровкой, я как раз и не пытался, потому что знаю, что без приватного ключа расшифровка невозможна для Proxima. Да, проверьте ЛС. Изменено 1 апреля пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти