Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Заразились шифровальщиком

aryanatha
 Поделиться

Рекомендуемые сообщения

aryanatha Новичок

aryanatha

Опубликовано
Опубликовано

Здравствуйте

Сервер под управлением Windows Server 2012 R2

Заходили на него используя RDP

2 диска зашифровались BitLockerом

Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы

В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.

Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб

в приложении логи анализа и да зашифрованный файла Эксель.

файл с вирусом не нашли. требований денег не нашли

возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 

и после этого с дестопа по RDP ходил на сервер

прошу помощи

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
7 minutes ago, aryanatha said:

Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы

Можете добавить логи FRST с системного диска, несколько зашифрованных файлов и записку о выкупе если есть такая?

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано (изменено)

блин, я их подготовил, но забыл прикрепить к первому сообщению. волнуюсь...

записки о выкупе не нашли

Addition.txt FRST.txt Вирус.zip

Изменено пользователем aryanatha
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано

Вас не затруднит объяснить сам механизм заражения через RDP . для этого нужно чтобы по RDP подключались с компьютера, на котором сидит троян, который перехватывает обращение . или можно подключаться с чистого компа с помощью RDP к другому чистому компу и злоумышленник как то сможет перехватить трафик и взломать анализируя этот трафик?

2 минуты назад, safety сказал:

А записка о выкупе есть с таким именем?

FILES_ENCRYPTED.txt

из трех дисков незашифрованным остался только один ,системный, на нем файл "FILES_ENCRYPTED.txt" найти не получилось

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Есть ли возможность подобрать пару чистый зашифрованный файлы?

или возможно есть такие зашифрованные файлы в системе:

например:

Desert.jpg.le0

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано
3 минуты назад, safety сказал:

вначале необходимо уточнить тип шифровальщика, который зашифровал ваши файлы с расширением le0, возможно это Salted2020, возможно что-то другое имитирует шифрование Salted2020. Были ли на системном диске файлы FILES_ENCRYPTED.txt?

искал с помощью ТоталКомандера по всему системному диску, не нашел. глазами в корне диска смотрел - не видно

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

дублирую вопрос:

Есть ли возможность подобрать пару чистый зашифрованный файлы?

или возможно есть такие зашифрованные файлы в системе:

например:

Desert.jpg.le0

 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано

Desert.jpg.le0

такого нет, это наверное картинка для рабочего стола? у нас же не обычная винда а северная 2012, наверное у нас другой набор картинок

 

8 минут назад, safety сказал:

Есть ли возможность подобрать пару чистый зашифрованный файлы?

я не понимаю что значит "чистый зашифрованный"

 

в данный момент пытаюсь найти пару незашифрованный файл + зашифрованный

хочу в почте найти файлы, которые нам посылали

но поскольку они поломали настройки почтовой программы, это занимает время, скоро получится

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
Quote

я не понимаю что значит "чистый зашифрованный"

 

Это значит: есть ли в наличие какой либо чистый файл (каким он был до момента шифрования). И чтобы была его зашифрованная копия. Если есть, значит можно будет составить пару файлов: чистый - зашифрованный.

 

+ проверьте есть ли папка c:\users\Public\pictures\Sample Pictures (здесь стандартный набор рисунков, и может быть во всех системах одинаковый)

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано

прикрепил три пары старый файл + зашифрованный. во всех трех случаях имена старого и зашифрованного файла не совпадают. так и должно быть: скачивая файл из почты я его переименовывал файл, но содержимое не менял. и вирус шифровал уже переименованный файл

 

1 час назад, safety сказал:

c:\users\Public\pictures

эта папка пустая, так же как и с музыкой и Видео

Пары файлов.zip

 

вот пара файлов, имена которых я не менял

4.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Скорее всего, это Salted2020, по которому мы не сможем вам помочь с расшифровкой.

+

проверьте ЛС.

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Александр_vgau
      шифровальщик banta
      Автор Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
    • vmax
      Шифровальщик 13
      Автор vmax
      Шифровальщик зашифровал все файлы, даже архивы, помогите, не знаю что делать. В архиве две заражённые картинки.
      1.jpg.id[3493C0DF-3274].[xlll@imap.cc].zip
    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...