loki locker Просьба попытаться расшифровать [spystar@onionmail.org][CE41433D]****.BlackBit

[Sandr0]

Начали шифровать сервера. Вовремя заметили и выключили.

Во вложении файл Cpriv.BlackBit возможно с ключем шифрования.

Сервера были восстановлены из резервной копии.

Часть данных потеряли - хотелось бы расшифровать.

Заранее благодарен.

Addition.txt FRST.txt !Для расшифровки.rar

[Sandor]

Здравствуйте!

 

Предположительно это вариант Loki Locker, так что расшифровки нет.

В логах не видно следов шифрования, заражение произошло на другом компьютере?

[Sandr0]

Заражение произошло на этом компьютере, но он был восстановлен из бэкапа.

Есть другой сервер полностью зашифрованный.

Приложил логи с него. Но они были сделаны в сэйф моде

 

Addition.txt FRST.txt

Изменено 28 сентября, 2022 пользователем Sandr0

[Sandor]

Да, спасибо, тут как раз он виден.

Ещё некоторое время подождите окончательного вердикта (хоть и без особых надежд на успех).

[Sandr0]

сейчас пытаюсь снять логи с работающего зашифрованного - если получится, выложу

[Sandor]

Не нужно пока, логов достаточно.

[Sandr0]

возможно там и скрипт (или что там запускалось) есть - только скажите что искать

 

 

Ну и вопрос из области фантастики - как определить под каким пользователем это заработало?
я сейчас включил учетку локального админа и ничего не шифруется....
все было запущено от пользователя который сейчас не вошел на сервер. 

[Sandor]

Если ориентироваться на логи из безопасного режима, это произошло 2022-09-24 23:37 в учётках: 
 

Цитата

 

C:\Users\1c_user4141\

C:\Users\1C_User4023.TEAM-RKD\

C:\Users\Public\

 

То есть, от администратора скорее всего.

[Sandor]

Как и предполагал, это вариант Loki и расшифровки нет.

Только хочу уточнить - здесь на форуме сотрудники ЛК не отвечают в темах лечения (и соотв. я к ним не отношусь).

Поэтому если вам нужен официальный ответ, следует обратиться по официальным же каналам - через My Kaspersky или через Company Account.

[Sandr0]

Да, спасибо
Есть над чем подумать

При необходимости обратимся