Перейти к содержанию

Вирус зашифровал диск С битлокером.


lladium

Рекомендуемые сообщения

Добрый день!
Ищу помощи в вопросе с Битлокером , ситуация следующая - был установлен Windows 10 на ноутбуке с ТРМ модулем и на нем же полностью зашифрован Битлокером ,ключ восстановления не был сохранен, пароль я помню. Потом данный жесткий диск я установил в другой ноутбук и пользовался без проблем ,в один момент пришлось ребутнуть компьютер и при загрузке пароль Битлокера был принят, но загрузка виндовс зависла на ошибке, при нескольких перезагрузках Битлокер перестал принимать пароль - пишет не верно и хочет код восстановления. Что делал - пробовал диск ставить на изначальный компьютер ,тоже пароль не верен пишет ,на любом другом компьютере сразу хочет код восстановления. Снял данные с дампа диска программой Bitlocker2john есть поля хэшей $bitlocker$2$ и $bitlocker$3$ полей 0 и 1 нет, 2 и 3 как я понял посчитать не получится ни у кого , или есть метода какая ?
Вопрос как быть в данной ситуации - я уверен что пароль верный , большую часть данных восстановил уже , сейчас уже интересно разобраться в данной ситуации чтобы исключить повторения ее в будующем ,онлайн бэкапы в конце рабочего дня спасли можно сказать.
Выходит так что вирус изменил пароль битлокера при загрузке , но при этом никаких требований о выкупе нет. Фото ошибки при загрузке прилогаю.

04547bee-0e63-414e-8b16-724533abe9a5(1).JPG

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • alexchernobylov
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • sss28.05.2025
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
    • Alkart1975
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
    • Eugene_aka_Hades
      Автор Eugene_aka_Hades
      Здравствуйте,
       
      вчера ломанули сервер с файловой 1С-кой, зашифровали все имеющиеся диски, почистили все резервные копии (пока были настроены только теневые копии), а размещенные файлы теперь имеют расширение dreed.
      Попробовал порталы www.nomoreransom.org, noransom.kaspersky.com, но они не смогли определить данный шифровальщик.
       
      Первый раз сталкиваюсь с этой бедой, подскажите, что делать?
    • Александр КС
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
×
×
  • Создать...