Перейти к содержанию

Вирус зашифровал сервера bilocker-ом

ziminator
 Share Подписчики 2

Рекомендуемые сообщения

ziminator

ziminator 0

Опубликовано
Опубликовано

Добрый вечер.

Сегодня вечером некоторые сервера организации оказались зашифрованы через bitlocker. Причём, доменные контроллеры зашифрованы полностью, т.е. нет возможности загрузиться, при старте сразу просит пароль для разблокировки. Сервера 1С и 1C-SQL также не грузятся. Файлпринт сервер грузится, диск с системой живой, диск E😕 с данными зашифрован. В момент шифрования, на принтерах напечаталось предупреждение из файла Hi.txt, с текстом на английском, что не предпринимайте никаких самостоятельных действий для расшифровки во избежание повреждения файлов, просто свяжитесь по почте buysafety@onionmail.org или в телеграм: @buysafety

Понять, откуда взялся вирус, как называется или получить хоть какую-нибудь информацию пока нет возможности.

Кто сталкивался, возможно диски расшифровать?

Screenshot from 2022-06-03 01-49-06.png

Screenshot from 2022-06-03 01-46-22.png

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Боюсь, что возможности подобрать пароль не существует.

 

6 часов назад, ziminator сказал:

предупреждение из файла Hi.txt

Этот файл прикрепите к следующему сообщению.

 

6 часов назад, ziminator сказал:

Понять, откуда взялся вирус

Скорее всего был взломан пароль на RDP и пароль на учетную запись администратора.

Ссылка на сообщение
Поделиться на другие сайты
ziminator

ziminator 0

Опубликовано
  • Автор
Опубликовано (изменено)

Самого файла у меня нет, просто некоторые принтеры напечатали текст и всё. Пока не разбирался где файл.

WhatsApp Image 2022-06-02 at 21.03.48.jpeg

Изменено пользователем ziminator
Ссылка на сообщение
Поделиться на другие сайты
ziminator

ziminator 0

Опубликовано
  • Автор
Опубликовано

Насчёт расшифровать не знаю, как защитится от повтора пока тоже не знаю, думаю. Я восстанавливался из бэкапа. Печально то, что я на предприятии работаю не давно и не во всё ещё въехал, какие-то бэкапы поправил проконтролировал, поэтому было что восстановить, а вот доменные контроллеры увы, бэкапов нет. Домен с нуля пришлось поднимать.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано
6 часов назад, ziminator сказал:

как защитится от повтора пока тоже не знаю

Ничего сверхъестественного:

- Сложные пароли на учетки администратора с ограниченным количеством неверных попыток

- Сложные пароли на RDP, а само подключение прятать за VPN

- Надёжный антивирус

 

На заметку - Рекомендации после удаления вредоносного ПО

 

1 час назад, pop_33 сказал:

Прошу строго не судить

Вы всего-то нарушили правила раздела пункт 2.

В будущем старайтесь правила соблюдать.

Ссылка на сообщение
Поделиться на другие сайты
  • 4 months later...
Sandor

Sandor 1 253

Опубликовано
Опубликовано

@Alexvinsk, здравствуйте!

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

 

Закрыто.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • aryanatha
      Заразились шифровальщиком
      От aryanatha
      Здравствуйте
      Сервер под управлением Windows Server 2012 R2
      Заходили на него используя RDP
      2 диска зашифровались BitLockerом
      Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
      В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
      Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
      в приложении логи анализа и да зашифрованный файла Эксель.
      файл с вирусом не нашли. требований денег не нашли
      возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 
      и после этого с дестопа по RDP ходил на сервер
      прошу помощи
    • Anastasia1
      BITLOCKER
      От Anastasia1
      Здравствуйте, зашифровали диски битлокером, есть ли возможность как-то расшифровать данные?
       
      Doc1.docx
    • Sepatoga
      Зашифровали bitlocker -ом
      От Sepatoga
      Здравствуйте.
      Сегодня наши сервера и несколько компов зашифровали bitlocker -ом. Под админом создали нового пользователя и запустили шифровку.
      Правда что-то у них не получилось, один комп и контроллер домена не зашифрованы, они перезагрузились но в них осталась учетка шифровальщика, логи почищены.  Ещё на одном компе зашифровалась флешка, а диск в порядке.
      Можно в этой ситуации что-то сделать?
      p. s. Атакующие оставили обратный адрес WегВits@ОniоnМail.оrg.
    • AndreMaxis
      Нам заблокировали диск через BitLocker
      От AndreMaxis
      Здравствуйте. Пришли на работу с выходных, а на компьютере, где 1с, заблокирован диск Д и оставлено сообщение о том, что извините, ничего личного, это просто бизнес - дайте 20 тыс. руб. в биткоинах и вам будет передан пароль разблокировки.
      Что можно сделать?
      Судя по всему злоумышленник использовал лазейку в системе - был открыт RDP для бухгалтера... Т.к. в почте никаких подозрительных писем не обнаружено.
      Прикладываю скрин и текстовый файл.
      Перед блокировкой также были перенесены на диск Д данные с диска С, такие как, например, Рабочий стол. Он теперь пустой...PLEASE READ.txt

    • Denis.h
      Зашифровали сервера через bitlocker
      От Denis.h
      Доброе утро!
      Зашифровали сервера используя bitlocker.
      Один из серверов нам расшифровали, есть файлы шифровальщика и пароль на один сервер.
      Возможно их как-то расшифровать?
      HI.txt
×
×
  • Создать...