proxima Шифровальщик зашифровал все файлы сервера

14 часов назад

Добрый день! Столкнулся с шифровальщиком. Зашифровались все файлы на сервере. ПОмогите с расшифровкой.

Spf Ransmoware.txt sfr_sert_prod.cer.EMAIL=[owndecrypt@gmail.com]ID=[16E43E4BAEAA08AF].rar

14 часов назад

Добавьте логи FRST, сделанные в зашифрованной системе.

Если систему сканировали KVRT, Cureit, или штатным антивирусом, добавьте отчеты о сканировании, в архиве, без пароля.

13 часов назад

Добрый день а как сделать не понятно. Зато выявил не мной созданного пользователя me2 и в нем какой то ntuser c логами и конфиг инф созданный как раз в момент шифрования.

Новая папка.rar

13 часов назад

5 минут назад, Дмитрий ddw сказал:

Добрый день а как сделать не понятно

По ссылке в собщениии зайдите, там будет пошаговая инструкция. Сложностей там нет.

13 часов назад

Вот запрашиваемые файлы. Отчеты о сканировании предоставить не получается

Addition.txt FRST.txt

13 часов назад

Лог FRST не доделан до конца. Наберитесь терпения, дождитесь пока процесс создания логов завершится, и автоматически будут открыты два текстовых лога. Надо переделать, не достает важной информации.

По отчетам сканирования: непонятно, с чем проблема

Изменено 12 часов назад пользователем safety

13 часов назад

Вот еще нарылось в пользователе me2 создана папка mimik и утилита kaspersky anti-ransonware tools ругается на файл mimik.sys лежащий в этой папке. приложил

Mimik.rar путь.txt

9 минут назад, safety сказал:

Лог FRST не доделан до конца. Наберитесь терпения, дождитесь пока процесс создания логов завершится, и автоматически будут открыты два текстовых лога. Надо переделать, не достает важной информации.

По отчетам сканирования: непонятно, с чем проблема

АнтиРансомваре можно деинсталлировать, давно не поддерживается.

Kaspersky Anti-Ransomware Tool (HKLM-x32\...\{56F48338-8AF7-4114-A1B2-335B57A27C98}) (Version: 14.0.0.510 - AO Kaspersky Lab)

ОН еще 2 раза открывал окна файл стал 60 к байт прикладываю

FRST.txt

13 часов назад

Addition.txt

вот еше разделчик в пользователе me2. в нем какой то exe на него тоже ругалась утилита

killprocess - Copy.rar

12 часов назад

В этой папке

2026-06-08 13:11 - 2026-06-08 13:35 - 000000000 ____D C:\KVRT2020_Data

заархивируйте подкаталог reports в архив без пароля.

архив если будет небольшого размера добавьте в ваше сообщение.

Если не получится загрузить в сообщение, загрузите на облачный диск, и дайте ссылку на скачивание в вашем соообщении.

12 часов назад

5 минут назад, safety сказал:

В этой папке

2026-06-08 13:11 - 2026-06-08 13:35 - 000000000 ____D C:\KVRT2020_Data

заархивируйте подкаталог reports в архив без пароля.

архив если будет небольшого размера добавьте в ваше сообщение.

Если не получится загрузить в сообщение, загрузите на облачный диск, и дайте ссылку на скачивание в вашем соообщении.

вот

report_2026.06.08_13.12.05.klr.rar

12 часов назад

40 минут назад, Дмитрий ddw сказал:

вот еше разделчик в пользователе me2. в нем какой то exe на него тоже ругалась утилита

да, это набор инструментов злоумышленника, жаль, что большинство из них зашифровано,

но сэмпл шифровальщика сохранился.

Это Proxima, семейство BTC-azadi

ESET-NOD32 Win32/Filecoder.ONI Trojan

Kaspersky HEUR:Trojan-Ransom.Win32.Generic

https://www.virustotal.com/gui/file/332a4853f281d9cfdd8b382c13ef17f6d82522ec6317ac37bcdc959a6d3fdaca?nocache=1

3 минуты назад, Дмитрий ddw сказал:

вот

KVRT уже ничего не нашел, возможно к моменту сканирования вы уже снесли папку с инструментами.

Для доп. анализа проверьте ЛС.

Изменено 12 часов назад пользователем safety

12 часов назад

5 минут назад, safety сказал:

да, это набор инструментов злоумышленника, жаль, что большинство из них зашифровано,

но сэмпл шифровальщика сохранился.

Это Proxima, семейство BTC-azadi

ESET-NOD32 Win32/Filecoder.ONI Trojan

Kaspersky HEUR:Trojan-Ransom.Win32.Generic

https://www.virustotal.com/gui/file/332a4853f281d9cfdd8b382c13ef17f6d82522ec6317ac37bcdc959a6d3fdaca?nocache=1

KVRT уже ничего не нашел, возможно к моменту сканирования вы уже снесли папку с инструментами.

Для доп. анализа проверьте ЛС.

И что есть возможность расшифровать?

12 часов назад

Для доп. анализа проверьте ЛС.

11 часов назад

AntiRansom Tool установили уже после шифрования?

Name,Publisher,Uninstall datetime,Event ID
Kaspersky Anti-Ransomware Tool,AO Kaspersky Lab,08.06.2026 11:14:01,1035 - reconfigured
Kaspersky Anti-Ransomware Tool,AO Kaspersky Lab,08.06.2026 15:11:44,1035 - reconfigured

11 часов назад

С расшифровкой файлов по данному типу не сможем помочь без приватного ключа.

Важные зашифрованные файлы сохраните на отдельный носитель, возможно что расшифровка будет возможной в будущем.

Если будет слив ключей, или полиция доберется до серверов злоумышленников.

Общие рекомендации:

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

proxima Шифровальщик зашифровал все файлы сервера

Рекомендуемые сообщения

Дмитрий ddw

safety

Дмитрий ddw

safety

Дмитрий ddw

safety

Дмитрий ddw

Дмитрий ddw

safety

Дмитрий ddw

safety

Дмитрий ddw

safety

safety

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum