Перейти к содержанию

Пошифровали все файлы на нескольких компах.


Рекомендуемые сообщения

Всем добрый день, хотя кому-то он и не особо добрый.

Каким-то образом взломали сеть и пошифровали все файлы на серверах!

При том, что стоял касперский-сервер и на многих станциях был развернул Workstation - не спасло((

Теперь на десктопе, в корне каждой папки лежат файлы: 3KjQa6buA.README.txt

Помогите расшифровать, пожалуйста!!

 

Addition.txt FRST.txt

Изменено пользователем KSab
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Образцы зашифрованных и записку прикрепите в архиве к следующему сообщению, пожалуйста

Порядок оформления запроса о помощи

+

В логах не видно следов заражения, а антивирус стоит 360 Total Security.

Если собирали логи на другом компьютере, они бесполезны.

Ссылка на комментарий
Поделиться на другие сайты

  • Sandor changed the title to Пошифровали все файлы на нескольких компах.

К сожалению, расшифровки этого типа вымогателя нет.

Помощь в очистке системы нужна или будет переустановка?

 

1 час назад, KSab сказал:

на многих станциях был развернул Workstation - не спасло((

Если был взломан пароль администратора, злоумышленнику ничего не помешало остановить антивирус.

Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, Sandor сказал:

К сожалению, расшифровки этого типа вымогателя нет.

Помощь в очистке системы нужна или будет переустановка?

 

Если был взломан пароль администратора, злоумышленнику ничего не помешало остановить антивирус.

Пароль админа взломать никак не могли. Взломали, скорее всего, через уязвимость в портале Confulence. Получили доступ и дальше пошли по сети. Я на сервере Confulence нашел логи санирования нашей сети.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, Sandor сказал:

К сожалению, расшифровки этого типа вымогателя нет.

Помощь в очистке системы нужна или будет переустановка?

 

Если был взломан пароль администратора, злоумышленнику ничего не помешало остановить антивирус.

Вопрос ещё есть: я успел "спасти" один сервак: он был в процессе шифрования (там очень много инфы на диске) и я его как раз в этот момент выключил.

Теперь вопрос: поможет ли это в расшифрове каким-то образом, или нет? Ведь там, по идее, должен остаться шифровальщик с ключом шифрования..

Ссылка на комментарий
Поделиться на другие сайты

2 minutes ago, KSab said:

поможет ли это в расшифрове каким-то образом, или нет? Ведь там, по идее, должен остаться шифровальщик с ключом шифрования..

Не поможет, так как для расшифровки необходим приватный ключ priv.key, а в шифровальщик встроен только публичный ключ pub.key. Единственно, если вы сможете вытащить из этого сервера файл шифровальщика (если он не защищен паролем), то мы сможем извлечь pub.key. Может, когда нибудь станет возможным по pub.key восстановить priv.key. Сейчас это невозможно.

Ссылка на комментарий
Поделиться на другие сайты

Систему просканировали антивирусом перед созданием образа автозапуска? можете добавить логи сканирования?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • LeraB
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • chernikovd
      От chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • skyinfire
      От skyinfire
      Здравствуйте.
      Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.
      Сканирование Касперским (одноразовым) ничего не находит.
      Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)
      А вот пароль непростой, 20 символов, хоть и словами с регистрами.
      Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.
      В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.
      Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?
      Bpant_Help.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

×
×
  • Создать...