Перейти к содержанию

Заразились шифровальщиком

aryanatha
 Поделиться

Рекомендуемые сообщения

aryanatha

aryanatha

Опубликовано
Опубликовано

Здравствуйте

Сервер под управлением Windows Server 2012 R2

Заходили на него используя RDP

2 диска зашифровались BitLockerом

Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы

В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.

Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб

в приложении логи анализа и да зашифрованный файла Эксель.

файл с вирусом не нашли. требований денег не нашли

возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 

и после этого с дестопа по RDP ходил на сервер

прошу помощи

safety

safety

Опубликовано
Опубликовано
7 minutes ago, aryanatha said:

Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы

Можете добавить логи FRST с системного диска, несколько зашифрованных файлов и записку о выкупе если есть такая?

  • Спасибо (+1) 1
aryanatha

aryanatha

Опубликовано
  • Автор
Опубликовано (изменено)

блин, я их подготовил, но забыл прикрепить к первому сообщению. волнуюсь...

записки о выкупе не нашли

Addition.txt FRST.txt Вирус.zip

Изменено пользователем aryanatha
safety

safety

Опубликовано
Опубликовано

А записка о выкупе есть с таким именем?

FILES_ENCRYPTED.txt

  • Like (+1) 1
aryanatha

aryanatha

Опубликовано
  • Автор
Опубликовано

Вас не затруднит объяснить сам механизм заражения через RDP . для этого нужно чтобы по RDP подключались с компьютера, на котором сидит троян, который перехватывает обращение . или можно подключаться с чистого компа с помощью RDP к другому чистому компу и злоумышленник как то сможет перехватить трафик и взломать анализируя этот трафик?

2 минуты назад, safety сказал:

А записка о выкупе есть с таким именем?

FILES_ENCRYPTED.txt

из трех дисков незашифрованным остался только один ,системный, на нем файл "FILES_ENCRYPTED.txt" найти не получилось

safety

safety

Опубликовано
Опубликовано (изменено)

Есть ли возможность подобрать пару чистый зашифрованный файлы?

или возможно есть такие зашифрованные файлы в системе:

например:

Desert.jpg.le0

Изменено пользователем safety
aryanatha

aryanatha

Опубликовано
  • Автор
Опубликовано
3 минуты назад, safety сказал:

вначале необходимо уточнить тип шифровальщика, который зашифровал ваши файлы с расширением le0, возможно это Salted2020, возможно что-то другое имитирует шифрование Salted2020. Были ли на системном диске файлы FILES_ENCRYPTED.txt?

искал с помощью ТоталКомандера по всему системному диску, не нашел. глазами в корне диска смотрел - не видно

safety

safety

Опубликовано
Опубликовано

дублирую вопрос:

Есть ли возможность подобрать пару чистый зашифрованный файлы?

или возможно есть такие зашифрованные файлы в системе:

например:

Desert.jpg.le0

 

  • Like (+1) 1
aryanatha

aryanatha

Опубликовано
  • Автор
Опубликовано

Desert.jpg.le0

такого нет, это наверное картинка для рабочего стола? у нас же не обычная винда а северная 2012, наверное у нас другой набор картинок

 

8 минут назад, safety сказал:

Есть ли возможность подобрать пару чистый зашифрованный файлы?

я не понимаю что значит "чистый зашифрованный"

 

в данный момент пытаюсь найти пару незашифрованный файл + зашифрованный

хочу в почте найти файлы, которые нам посылали

но поскольку они поломали настройки почтовой программы, это занимает время, скоро получится

 

safety

safety

Опубликовано
Опубликовано (изменено)
Quote

я не понимаю что значит "чистый зашифрованный"

 

Это значит: есть ли в наличие какой либо чистый файл (каким он был до момента шифрования). И чтобы была его зашифрованная копия. Если есть, значит можно будет составить пару файлов: чистый - зашифрованный.

 

+ проверьте есть ли папка c:\users\Public\pictures\Sample Pictures (здесь стандартный набор рисунков, и может быть во всех системах одинаковый)

Изменено пользователем safety
  • Спасибо (+1) 1
aryanatha

aryanatha

Опубликовано
  • Автор
Опубликовано

прикрепил три пары старый файл + зашифрованный. во всех трех случаях имена старого и зашифрованного файла не совпадают. так и должно быть: скачивая файл из почты я его переименовывал файл, но содержимое не менял. и вирус шифровал уже переименованный файл

 

1 час назад, safety сказал:

c:\users\Public\pictures

эта папка пустая, так же как и с музыкой и Видео

Пары файлов.zip

 

вот пара файлов, имена которых я не менял

4.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Скорее всего, это Salted2020, по которому мы не сможем вам помочь с расшифровкой.

+

проверьте ЛС.

Изменено пользователем safety
  • Спасибо (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • MikeP
      Шифровальщик заразил компьютер
      Автор MikeP
      Добрый день! Шифратор заразил компьютер, скорее всего в выходные 31.01.26, заметили только сегодня. Важные файлы стали формата .ooo4ps. Файрвол виндовс был отключен. Просьба по возможности помочь с дешифровкой. Логи анализа Farbar Recovery Scan Tool,заражённые файлы и сообщение вируса во вложении
      Addition.txt FRST.txt Зараженные файлы.rar
    • qwazz
      поймал шифровальщик ooo4ps
      Автор qwazz
      Добрый день, поймал шифровальщика , файлы с разрешением ooo4ps.   тут выкладывали дешифратор. но я не могу его скачать.
      Сообщение от модератора kmscom Сообщение перенесено из темы поймал шифровальщик ooo4ps
       
    • JesikaBin
      Поймали шифровальщик ooo4ps
      Автор JesikaBin
      Добрый день. Поймали шифровальщик, вымогают деньги 2000$ для расшифровки. В 1с войти не можем, на диск, где хранятся бэкапы тоже никак не войти. У нас арендованный сервер Windows Server. Как быть?

      virus.rar
    • Ivan_S
      Шифровальщик .ooo4ps
      Автор Ivan_S
      Добрый день. Пойммали вирус-шифровальщик на сервер. выяснили что все действия проводились через пользователя под которым крутилась 1с, однако была создана его копия, в которой хранится файл DiskCryptor. Ниже прикрепляю файл логов, а так же пара зашифрованных файлов вместе с архивом вируса

       
      Files.rar FRST.txt virus.rar
    • pizzador
      Помощь в борьбе с шифровальщиками-вымогателями
      Автор pizzador
      Доброго времени суток. В компании работаю не давно,сервер находится на удаленке.Был доступ по РДП . Микротика не было.Заказал,но не успел прийти.По итогу после многочисленных атак ,в сервер проник шифровальщик и все закрыл.Бекапы делались на другие диски.Они заблокированы битлокером . Расшерение .le0
      Addition.txt FRST.txt Shortcut.txt Ильинский до корректировок осв.xlsx.zip
×
×
  • Создать...