proxima Ночью все файлы на сервере были зашифрованы .symat

[ideator]

Добрый день! Ночью все файлы были зашифрованы. Прикрепляю зашифрованные файлы с запиской и лог 

зашифрованные файлы с запиской.rar Fixlog.txt Quarantine.rar

[safety]

Логи FRST так же добавьте из зашифрованного устройства.

[ideator]

Logs.rarLogs(без пароля).rar

Изменено 17 апреля, 2025 пользователем ideator

[safety]

Судя по Fixlog.txt использовали скрипт из другой темы, пользы от такого лечения никакого, а может быть и вред.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\CompatTelRunner.exeSecurityHealthHost: [Debugger] Hotkey Disabled
IFEO\ConfigSecurityPolicy: [Debugger] Hotkey Disabled
IFEO\DlpUserAgent: [Debugger] Hotkey Disabled
IFEO\MpDefenderCoreService: [Debugger] Hotkey Disabled
IFEO\MpDlpCmd: [Debugger] Hotkey Disabled
IFEO\MpDlpService: [Debugger] Hotkey Disabled
IFEO\mpextms: [Debugger] Hotkey Disabled
IFEO\MRT.exe: [Debugger] Hotkey Disabled
IFEO\MsMpEng: [Debugger] Hotkey Disabled
IFEO\NisSrv: [Debugger] Hotkey Disabled
IFEO\SecurityHealthService: [Debugger] Hotkey Disabled
IFEO\SecurityHealthSystray: [Debugger] Hotkey Disabled
IFEO\smartscreen.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.CloudService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.MountService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.WmiServer.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.EndPoint.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.VssHwSnapshotProvider.exe: [Debugger] Hotkey Disabled
IFEO\VeeamDeploymentSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamHvIntegrationSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamNFSSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamTransportSvc.exe: [Debugger] Hotkey Disabled
IFEO\vmcompute.exe: [Debugger] Hotkey Disabled
IFEO\vmms.exe: [Debugger] Hotkey Disabled
IFEO\vmwp.exe: [Debugger] Hotkey Disabled
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {517F95C6-3B9D-45D9-8E80-B6CEBCB2FF12} - System32\Tasks\Windows Update BETA => C:\PerfLogs\Windows  -> System Managers.exe
C:\PerfLogs\Windows\System Managers.exe
2025-04-17 00:49 - 2025-04-17 00:49 - 000003264 _____ C:\Windows\system32\Tasks\Windows Update BETA
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 17 апреля, 2025 пользователем safety

[ideator]

Fixlog.txthttps://drive.google.com/file/d/15YEIi5apLvAsK2ThWbxNaCL2YTlygYqV/view?usp=sharing

[safety]

Файл шифровальщика "System Managers.exe" возможно ранее был удален.

Если систему сканировали с помощью Cureit, KVRT или штатным антивирусом, добавьте, пожалуйста, отчеты или логи сканирования.

 

Увы,времени сейчас нет на то, чтобы оперативно отвечать, поэтому ответы с запаздыванием на 5-10 часов, в дневное время возможно будут чаще.

Изменено 17 апреля, 2025 пользователем safety

[ideator]

К сожалению, логи антивируса предоставить не получится. Т.к. была произведена переустановка системы, для возобновления работы. К тому же были обнаружены незашифрованные файлы, в т.ч. каталоги баз постгре, однако Wal файлы все же были зашифрованы, поэтому полностью восстановить работоспособность получилось только у 2 из 4 баз 1с. Получается по предоставленным мной файлам не вышло определить тип шифровальщика, а соответственно вы не сможете мне ответить получится ли расшифровать файл без оплаты вымогателям или нет?

[safety]

 

Почему же? Тип шифровальщика определен: Proxima/SyMat. И расшифровка по нему невозможна без приватного ключа, которого у нас нет.

Изменено 6 мая, 2025 пользователем safety