Перейти к содержанию

Стали жертвой шифровальщика. Просьба сообщить варианты помощи по дешифрации


Рекомендуемые сообщения

Стали жертвой шифровальщика. Часть данных не смогли восстановить, а она является достаточно важной.

Шифровальщик заменяет файлы на свои - добавляя расширение.

Способ распространения странный - откуда заполз не понятно, работал он в рамках RDP сессий - очень похоже что идя по алфавиту.

Файлы после него стали все такие, например: 

x.backup.srv-fs.dayD2022-12-09T093032_6A47.vib.CRYPT

Во вложении файл с описанием что хочет вымогатель.

 

 

 

Снимок экрана 2022-12-12 в 11.13.50.png

Readme - How to recover encrypted files.html

Изменено пользователем alexeis
добавил файлы описания
Ссылка на комментарий
Поделиться на другие сайты

по всей видимости шифровальщик попал в локальную сеть через 2008 сервер с открытым наружу 443 портом

далее нашел хэш пароля административной записи и начал ходить по RDP и запускать себя и шифровать файлы

копии файлов он не создавал - просто шифровал и менял разрешение

после отключения учетной записи под которой он работал - шифрование прекратилось

 

теперь имеем тонну шифрованных файлов - которые крайне важно восстановить

копии вирус также успел пошировать

 

файла самого шифрователя найти не удалось

 

FRST.txt example.zip

Изменено пользователем Sandor
Убрал лог по просьбе ТС
Ссылка на комментарий
Поделиться на другие сайты

Хочу уточнить, здесь отвечают не сотрудники ЛК.

Если вам нужен официальный ответ компании, при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Некоторое время подождите, пробуем определить тип вымогателя.

 

Покажите, пожалуйста, последний отчёт обнаружений антивируса Eset. Можно скриншотом.

Ссылка на комментарий
Поделиться на другие сайты

антивирус его не увидел, поэтому не чего приложить.

тк позировало всю локалку - сейчас один из пострадавших сканируется вот этой вещью - может быть что то положительное покажет

предположительно это он:

image.thumb.png.10f9cd7e61a57f858b33895e5c231a56.png

image.thumb.png.5101ce5ee029b862fe8cd5ba51cbe3bc.png

Ссылка на комментарий
Поделиться на другие сайты

15 часов назад, alexeis сказал:

Способ распространения странный - откуда заполз не понятно

А был бы нормальный EDR с антивирусом, то достаточно быстро смогли расследовать инцидент. Судя по логам и компанию, которую вы представляете вас взломали еще в сентябре, а то и еще раньше. Запрос на расшифровку вы вероятно сделать не сможете, т.к. у вас вероятно нет лицензии на антивирус, а ESET куда бы вы могли обратиться за помощью ушел с рынка РФ. У вас вероятно это https://xakep.ru/2022/09/22/lockbit-leak/ чудо зашифровало файлы. 

Ссылка на комментарий
Поделиться на другие сайты

Подтверждаю, похоже на LockBit 3.0, только шифрование началось не в сентябре 18 года, а 2022-12-11 04:09

 

@alexeis, есть смысл обратиться в ЛК с запросом на расшифровку.

 

Помощь в очистке системы от следов вымогателя нужна или планируете переустановку?

Ссылка на комментарий
Поделиться на другие сайты

системы переустановили, теперь осталось понять как данные восстановить. пока оставили данные в стороне - ждем возможных вариантов дешифровки.

а каким образом обратиться в ЛК чтобы попробовать получить дешифровщик?

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, alexeis сказал:

а каким образом обратиться в ЛК чтобы попробовать получить дешифровщик?

Почитайте закрепленные темы в этом разделе. В них всё написано + ссылку вам уже давали в этой теме. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Дмитрий71
      От Дмитрий71
      Шифровальщик AZOT зашифровал сервер 1с и просит денег. Подскажите, существуют ли варианты решения или всё в топку?( 
      в каталоге C:\DEC лежит как предполагаю декриптор 8772-decrypter.rar с паролем 
      Addition.txt FRST.txt
    • Сергей Комаров
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • Melor
      От Melor
      Прошу помощи в дешифровке файлов.
      Desktop.rar Addition.txt FRST.txt
    • Tadmin
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • RQST
      От RQST
      Добрый день!

      Прошу помощи с шифровальщиком mimic / elpaco. Поражена инфраструктура офиса.

      -----------

      Сообщение шифровальщика:

      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is D6F1UYsBfAD8vuYRO-7qBajEYC86q4SkUIPo7z8LpE0*ELPACO-team
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - de_tech@tuta.io
      2) Telegram - @Online7_365  or https://t.me/Online7_365
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.

      -----------

      Пароль на архивы - "virus" (без кавычек)

      root.zip - Файлы из корня диска, в том числе зашифрованные (расширение зашифрованных файлов - .ELPACO-team)
      temp.zip - временные файлы вируса
      F6A3737E-E3B0-8956-8261-0121C68105F3.zip - вирус (запуск через ветку реестра run) по ссылке https://disk.yandex.ru/d/dkHtydu6GhGFEA

      ----

      frst.zip и FS01-S-2024-07-21_09-25-57_v4.15.7v.7z - отчеты
      frst.zip root.zip temp.zip FS01-S-2024-07-21_09-25-57_v4.15.7v.7z
×
×
  • Создать...