salted2020 Заразились шифровальщиком

[aryanatha]

Здравствуйте

Сервер под управлением Windows Server 2012 R2

Заходили на него используя RDP

2 диска зашифровались BitLockerом

Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы

В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.

Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб

в приложении логи анализа и да зашифрованный файла Эксель.

файл с вирусом не нашли. требований денег не нашли

возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 

и после этого с дестопа по RDP ходил на сервер

прошу помощи

[safety]

7 minutes ago, aryanatha said:

Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы

Можете добавить логи FRST с системного диска, несколько зашифрованных файлов и записку о выкупе если есть такая?

[aryanatha]

блин, я их подготовил, но забыл прикрепить к первому сообщению. волнуюсь...

записки о выкупе не нашли

Addition.txt FRST.txt Вирус.zip

Изменено 8 апреля, 2024 пользователем aryanatha

[safety]

А записка о выкупе есть с таким именем?

FILES_ENCRYPTED.txt

[aryanatha]

Вас не затруднит объяснить сам механизм заражения через RDP . для этого нужно чтобы по RDP подключались с компьютера, на котором сидит троян, который перехватывает обращение . или можно подключаться с чистого компа с помощью RDP к другому чистому компу и злоумышленник как то сможет перехватить трафик и взломать анализируя этот трафик?

2 минуты назад, safety сказал:

А записка о выкупе есть с таким именем?

FILES_ENCRYPTED.txt

из трех дисков незашифрованным остался только один ,системный, на нем файл "FILES_ENCRYPTED.txt" найти не получилось

[safety]

Есть ли возможность подобрать пару чистый зашифрованный файлы?

или возможно есть такие зашифрованные файлы в системе:

например:

Desert.jpg.le0

Изменено 8 апреля, 2024 пользователем safety

[aryanatha]

3 минуты назад, safety сказал:

вначале необходимо уточнить тип шифровальщика, который зашифровал ваши файлы с расширением le0, возможно это Salted2020, возможно что-то другое имитирует шифрование Salted2020. Были ли на системном диске файлы FILES_ENCRYPTED.txt?

искал с помощью ТоталКомандера по всему системному диску, не нашел. глазами в корне диска смотрел - не видно

[safety]

дублирую вопрос:

Есть ли возможность подобрать пару чистый зашифрованный файлы?

или возможно есть такие зашифрованные файлы в системе:

например:

Desert.jpg.le0

 

[aryanatha]

Desert.jpg.le0

такого нет, это наверное картинка для рабочего стола? у нас же не обычная винда а северная 2012, наверное у нас другой набор картинок

 

8 минут назад, safety сказал:

Есть ли возможность подобрать пару чистый зашифрованный файлы?

я не понимаю что значит "чистый зашифрованный"

 

в данный момент пытаюсь найти пару незашифрованный файл + зашифрованный

хочу в почте найти файлы, которые нам посылали

но поскольку они поломали настройки почтовой программы, это занимает время, скоро получится

 

[safety]

Quote

я не понимаю что значит "чистый зашифрованный"

 

Это значит: есть ли в наличие какой либо чистый файл (каким он был до момента шифрования). И чтобы была его зашифрованная копия. Если есть, значит можно будет составить пару файлов: чистый - зашифрованный.

 

+ проверьте есть ли папка c:\users\Public\pictures\Sample Pictures (здесь стандартный набор рисунков, и может быть во всех системах одинаковый)

Изменено 8 апреля, 2024 пользователем safety

[aryanatha]

прикрепил три пары старый файл + зашифрованный. во всех трех случаях имена старого и зашифрованного файла не совпадают. так и должно быть: скачивая файл из почты я его переименовывал файл, но содержимое не менял. и вирус шифровал уже переименованный файл

 

1 час назад, safety сказал:

c:\users\Public\pictures

эта папка пустая, так же как и с музыкой и Видео

Пары файлов.zip

 

вот пара файлов, имена которых я не менял

4.zip

[safety]

Скорее всего, это Salted2020, по которому мы не сможем вам помочь с расшифровкой.

+

проверьте ЛС.

Изменено 8 апреля, 2024 пользователем safety