Перейти к содержанию

Вирус зашифровал сервера bilocker-ом

ziminator
 Поделиться

Рекомендуемые сообщения

ziminator

ziminator

Опубликовано
Опубликовано

Добрый вечер.

Сегодня вечером некоторые сервера организации оказались зашифрованы через bitlocker. Причём, доменные контроллеры зашифрованы полностью, т.е. нет возможности загрузиться, при старте сразу просит пароль для разблокировки. Сервера 1С и 1C-SQL также не грузятся. Файлпринт сервер грузится, диск с системой живой, диск E😕 с данными зашифрован. В момент шифрования, на принтерах напечаталось предупреждение из файла Hi.txt, с текстом на английском, что не предпринимайте никаких самостоятельных действий для расшифровки во избежание повреждения файлов, просто свяжитесь по почте buysafety@onionmail.org или в телеграм: @buysafety

Понять, откуда взялся вирус, как называется или получить хоть какую-нибудь информацию пока нет возможности.

Кто сталкивался, возможно диски расшифровать?

Screenshot from 2022-06-03 01-49-06.png

Screenshot from 2022-06-03 01-46-22.png

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Боюсь, что возможности подобрать пароль не существует.

 

6 часов назад, ziminator сказал:

предупреждение из файла Hi.txt

Этот файл прикрепите к следующему сообщению.

 

6 часов назад, ziminator сказал:

Понять, откуда взялся вирус

Скорее всего был взломан пароль на RDP и пароль на учетную запись администратора.

ziminator

ziminator

Опубликовано
  • Автор
Опубликовано (изменено)

Самого файла у меня нет, просто некоторые принтеры напечатали текст и всё. Пока не разбирался где файл.

WhatsApp Image 2022-06-02 at 21.03.48.jpeg

Изменено пользователем ziminator
ziminator

ziminator

Опубликовано
  • Автор
Опубликовано

Насчёт расшифровать не знаю, как защитится от повтора пока тоже не знаю, думаю. Я восстанавливался из бэкапа. Печально то, что я на предприятии работаю не давно и не во всё ещё въехал, какие-то бэкапы поправил проконтролировал, поэтому было что восстановить, а вот доменные контроллеры увы, бэкапов нет. Домен с нуля пришлось поднимать.

Sandor

Sandor

Опубликовано
Опубликовано
6 часов назад, ziminator сказал:

как защитится от повтора пока тоже не знаю

Ничего сверхъестественного:

- Сложные пароли на учетки администратора с ограниченным количеством неверных попыток

- Сложные пароли на RDP, а само подключение прятать за VPN

- Надёжный антивирус

 

На заметку - Рекомендации после удаления вредоносного ПО

 

1 час назад, pop_33 сказал:

Прошу строго не судить

Вы всего-то нарушили правила раздела пункт 2.

В будущем старайтесь правила соблюдать.

  • 4 месяца спустя...
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Тунсю
      Поймали шифровальщик "ooo4ps" Bitlocker
      Автор Тунсю
      Здравствуйте! Подхватили заразу a38261062@gmail.com ooo4ps, зашифрованы на сервере файлы на рабочем столе и диски, как вернуть сервер в штатный режим и обезопасить себя в будущем,  может есть какое-то решение?
      при проверки сервера угрозы не были найдены 
    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
    • Alkart1975
      Зашифровали диск с данными српедствами BitLocker
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
    • Okay
      Salted2020 и USR1CV83
      Автор Okay
      Зашифровали сервер 1С на базе Windows Server 2019 Standard, все обновления стоят.
      Доступа по RDP нет, сервер 1С открытыми портами в интернет не светит.
      Почитав аналогичные темы, понял, что взломали через пользователя USR1CV83 (хотя в системе ему было задано другое имя).
      Примерное время взлома: 08.06.25 03:00 МСК. После шифрования все следы шифровальщика были удалены, системные журналы очищены, сервер выключен.
      Поиск по временным папкам ничего не дал. Elcomsoft Forensic Disk Decryptor тоже не помог.
      На восстановление файлов не надеюсь, восстановим из имеющихся резервных копий.
      Вопрос в том, каков именно механизм взлома и как защититься от подобного в будущем?
      Пользователь USR1CV83 был назван по-другому, пароль задан сложный, админские права ему нужны для корректной работы.
       
      FRST.txt Addition.txt FILES_ENCRYPTED.zip
×
×
  • Создать...