Перейти к содержанию

Шифровальщик Ransom:Win32/Lockbit.RPA!MTB с расширением .bGe6JmZwv

Evgen2454
 Share Подписчики 2

Рекомендуемые сообщения

Evgen2454

Evgen2454 0

Опубликовано
Опубликовано

Добрый день. 07.07.2023 в ночь взломали все сервера и положили всю сеть. Обнаружили когда с утра не работала 1с. Ощущение будто ломали ручками потому что не до всех мест долезли и местами после подключения видны открытые окна которые оставили злоумышленники (было отрыто окно групповых политик где устанавливалось изображение рабочего стола). Файл exe который всё ломает антивирусом видится как Ransom:Win32/Lockbit.RPA!MTB. Сохранялся исполняемый файл в несколько директорий, вот которые заметил:


C:\Windows\SYSVOL\domain\scripts
\\domain.local\NETLOGON
\\domain.local\SYSVOL\domain.local\scripts


так же через время на принтеры отправили 999 копий текста вымогателей. Архив с вирусом есть. Очень нужна помощь по восстановлению данных.
image.png.5acab9b04d297f2f39d6ecfa54bb3bd3.pngAddition.txtFRST.txtзашифрованный файл.rarbGe6JmZwv.README.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Боюсь, что расшифровки нет. Но давайте попробуем чуть глубже изучить.

20 часов назад, Evgen2454 сказал:

Сохранялся исполняемый файл

Упакуйте его с паролем, залейте на файлообменник (или на облако) и ссылку на скачивание отправьте мне личным сообщением.

 

Файлы, перечисленные на скриншоте, тоже упакуйте (можно без пароля) и прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

К сожалению, расшифровки нет.

Вам нужно принять меры по защите клиентских мест, в т.ч. домена.

Пароли администраторов следует сменить и задать в политике количество неверно набранных паролей.

Подключение по RDP следует прятать за VPN.

 

Установите надёжную защиту - https://www.kaspersky.ru/

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • i.molvinskih
      Шифровальщик PHILIP_KIRKOROV
      От i.molvinskih
      Здраствуйте, в архиве требования, два зашифрованных файла и лог FRST.
      Шифрование произошло сегодня, журнал событий был очищен.
      требования_и_зашифрованные_файлы.zip
    • user2024
      Расшифровка больших файлов формата *.babuk
      От user2024
      Здравствуйте, поделитесь пожалуйста опытом - было заражение машин LockBit. Файлы резервных копий MS SQL Server были так же зашифрованы. Нами был получен дешифратор, но файлы размером 2 ТБ не расшифровались. Может у кого-то был опыт в расшифровке файлов такого объема? После работы дешифратора, если открыть файлы в hex редакторе то их структура не меняется (т.е. по какой-то причине дешифратор не обрабатывает файл). Может у кого-то был опыт с расшифровкой файлов такого объема?
    • denis12345
      Help me! BlackBit!
      От denis12345
      Help me! сегодня взломали и подсадили шифровальщика BlackBit, файлы особо не важны, но срочно нужно восстановление базы 1С, вся работа предприятия парализована. Может кто-то уже сталкивался и расшифровывал, подскажите методы или ? Заранее спасибо!
    • ZzordNN
      Шифровальщик .an8uxv2w
      От ZzordNN
      По открытому порту rdp на один серверов проник вредитель и в ручную распространил его на другие сервера и несколько машин пользователей от имени администратора. Имеется перехваченный закрытый ключ - насколько он правильный и подходит нам, мы не понимаем.
      Прикрепляем архив с двумя зараженными файлами и памятку бандита с сервера, закрытый ключ.txt, фото исполняемых файлов вируса (сами файлы куда-то затерялись из-за паники) и два отчета от FRST.
      Возможно вам поможет pdf отчет от staffcop с логами действий мошенника и данными буфера, но к сожалению не могу прикрепить сюда его, т.к он весит 13мб. Прикрепляю ссылку на облако где лежит отчет - https://drive.google.com/drive/folders/1AoXCRWR76Ffq0bjwJa7ixVevrQ_9MchK?usp=sharing 
      files shifrator.zip
    • Алексей Шулепов
      Шифровальщик
      От Алексей Шулепов
      Добрый вечер, с 7 на 8 июля 2023 взломали рабочую станцию с win 11 заразили ее и те ПК с общими папками которые были включены, был заражен сервер через RDP c этой станции, на сервере был заражен диск Д кроме баз MS SQL, в папке пользователя AppData осталось 5 файлов и 1 один в автозагрузке Desktopini.exe который определялся как  вирус вымогатель. по крайне мере так его опознал Kaspersky Anti-Ransomware Tool for Business 5 (PDM: Trojan.Win32.Bazon.a) шифрует с расширением .OjuC на другом ПК с рас ширением .OpsO , на эти два зашифрованных файла есть оригиналы нешифрованные.


      Addition.txt FRST.txt Read_Me!_1.txt зашифрованные файлы.rar
×
×
  • Создать...