Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

Заразились шифровальщиком

aryanatha
 Поделиться

Рекомендуемые сообщения

aryanatha Новичок

aryanatha

Опубликовано
Опубликовано

Здравствуйте

Сервер под управлением Windows Server 2012 R2

Заходили на него используя RDP

2 диска зашифровались BitLockerом

Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы

В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.

Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб

в приложении логи анализа и да зашифрованный файла Эксель.

файл с вирусом не нашли. требований денег не нашли

возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 

и после этого с дестопа по RDP ходил на сервер

прошу помощи

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
7 minutes ago, aryanatha said:

Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы

Можете добавить логи FRST с системного диска, несколько зашифрованных файлов и записку о выкупе если есть такая?

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано (изменено)

блин, я их подготовил, но забыл прикрепить к первому сообщению. волнуюсь...

записки о выкупе не нашли

Addition.txt FRST.txt Вирус.zip

Изменено пользователем aryanatha
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано

Вас не затруднит объяснить сам механизм заражения через RDP . для этого нужно чтобы по RDP подключались с компьютера, на котором сидит троян, который перехватывает обращение . или можно подключаться с чистого компа с помощью RDP к другому чистому компу и злоумышленник как то сможет перехватить трафик и взломать анализируя этот трафик?

2 минуты назад, safety сказал:

А записка о выкупе есть с таким именем?

FILES_ENCRYPTED.txt

из трех дисков незашифрованным остался только один ,системный, на нем файл "FILES_ENCRYPTED.txt" найти не получилось

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Есть ли возможность подобрать пару чистый зашифрованный файлы?

или возможно есть такие зашифрованные файлы в системе:

например:

Desert.jpg.le0

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано
3 минуты назад, safety сказал:

вначале необходимо уточнить тип шифровальщика, который зашифровал ваши файлы с расширением le0, возможно это Salted2020, возможно что-то другое имитирует шифрование Salted2020. Были ли на системном диске файлы FILES_ENCRYPTED.txt?

искал с помощью ТоталКомандера по всему системному диску, не нашел. глазами в корне диска смотрел - не видно

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

дублирую вопрос:

Есть ли возможность подобрать пару чистый зашифрованный файлы?

или возможно есть такие зашифрованные файлы в системе:

например:

Desert.jpg.le0

 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано

Desert.jpg.le0

такого нет, это наверное картинка для рабочего стола? у нас же не обычная винда а северная 2012, наверное у нас другой набор картинок

 

8 минут назад, safety сказал:

Есть ли возможность подобрать пару чистый зашифрованный файлы?

я не понимаю что значит "чистый зашифрованный"

 

в данный момент пытаюсь найти пару незашифрованный файл + зашифрованный

хочу в почте найти файлы, которые нам посылали

но поскольку они поломали настройки почтовой программы, это занимает время, скоро получится

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
Quote

я не понимаю что значит "чистый зашифрованный"

 

Это значит: есть ли в наличие какой либо чистый файл (каким он был до момента шифрования). И чтобы была его зашифрованная копия. Если есть, значит можно будет составить пару файлов: чистый - зашифрованный.

 

+ проверьте есть ли папка c:\users\Public\pictures\Sample Pictures (здесь стандартный набор рисунков, и может быть во всех системах одинаковый)

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано

прикрепил три пары старый файл + зашифрованный. во всех трех случаях имена старого и зашифрованного файла не совпадают. так и должно быть: скачивая файл из почты я его переименовывал файл, но содержимое не менял. и вирус шифровал уже переименованный файл

 

1 час назад, safety сказал:

c:\users\Public\pictures

эта папка пустая, так же как и с музыкой и Видео

Пары файлов.zip

 

вот пара файлов, имена которых я не менял

4.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Скорее всего, это Salted2020, по которому мы не сможем вам помочь с расшифровкой.

+

проверьте ЛС.

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alexandr_
      заразился ELPACO-team
      Автор Alexandr_
      Добрый день, помогите победить шифровальщик от Elpaco-team, зашифровал документы и  базу 1С (
      Надеюсь на Вашу помощь
      Addition.txt Decrypt_ELPACO-team_info.txt filespdf.rar FRST.txt
    • Salieri
      Заразился вирусом
      Автор Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • Kirill-Ekb
      Шифровальщик ELENOR-corp
      Автор Kirill-Ekb
      Приветствую
       
      По RDP в локальной сети распространился и зашифровал файлы ELENOR-corp на нескольких компьютерах.
      Во вложении файлы диагностики Farbar Recovery Scan Tool и архив с требованием и двумя небольшими зашифрованными файлами - всё с одного компьютера.
      Также есть файл вируса - готов предоставить по необходимости
      Основная цель: расшифровать файлы
      Addition.txt FRST.txt Требование и пример файлов.7z
×
×
  • Создать...