Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Заразились шифровальщиком

aryanatha
 Поделиться

Рекомендуемые сообщения

aryanatha Новичок

aryanatha

Опубликовано
Опубликовано

Здравствуйте

Сервер под управлением Windows Server 2012 R2

Заходили на него используя RDP

2 диска зашифровались BitLockerом

Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы

В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.

Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб

в приложении логи анализа и да зашифрованный файла Эксель.

файл с вирусом не нашли. требований денег не нашли

возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 

и после этого с дестопа по RDP ходил на сервер

прошу помощи

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
7 minutes ago, aryanatha said:

Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы

Можете добавить логи FRST с системного диска, несколько зашифрованных файлов и записку о выкупе если есть такая?

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано (изменено)

блин, я их подготовил, но забыл прикрепить к первому сообщению. волнуюсь...

записки о выкупе не нашли

Addition.txt FRST.txt Вирус.zip

Изменено пользователем aryanatha
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано

Вас не затруднит объяснить сам механизм заражения через RDP . для этого нужно чтобы по RDP подключались с компьютера, на котором сидит троян, который перехватывает обращение . или можно подключаться с чистого компа с помощью RDP к другому чистому компу и злоумышленник как то сможет перехватить трафик и взломать анализируя этот трафик?

2 минуты назад, safety сказал:

А записка о выкупе есть с таким именем?

FILES_ENCRYPTED.txt

из трех дисков незашифрованным остался только один ,системный, на нем файл "FILES_ENCRYPTED.txt" найти не получилось

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Есть ли возможность подобрать пару чистый зашифрованный файлы?

или возможно есть такие зашифрованные файлы в системе:

например:

Desert.jpg.le0

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано
3 минуты назад, safety сказал:

вначале необходимо уточнить тип шифровальщика, который зашифровал ваши файлы с расширением le0, возможно это Salted2020, возможно что-то другое имитирует шифрование Salted2020. Были ли на системном диске файлы FILES_ENCRYPTED.txt?

искал с помощью ТоталКомандера по всему системному диску, не нашел. глазами в корне диска смотрел - не видно

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

дублирую вопрос:

Есть ли возможность подобрать пару чистый зашифрованный файлы?

или возможно есть такие зашифрованные файлы в системе:

например:

Desert.jpg.le0

 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано

Desert.jpg.le0

такого нет, это наверное картинка для рабочего стола? у нас же не обычная винда а северная 2012, наверное у нас другой набор картинок

 

8 минут назад, safety сказал:

Есть ли возможность подобрать пару чистый зашифрованный файлы?

я не понимаю что значит "чистый зашифрованный"

 

в данный момент пытаюсь найти пару незашифрованный файл + зашифрованный

хочу в почте найти файлы, которые нам посылали

но поскольку они поломали настройки почтовой программы, это занимает время, скоро получится

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
Quote

я не понимаю что значит "чистый зашифрованный"

 

Это значит: есть ли в наличие какой либо чистый файл (каким он был до момента шифрования). И чтобы была его зашифрованная копия. Если есть, значит можно будет составить пару файлов: чистый - зашифрованный.

 

+ проверьте есть ли папка c:\users\Public\pictures\Sample Pictures (здесь стандартный набор рисунков, и может быть во всех системах одинаковый)

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
aryanatha Новичок

aryanatha

Опубликовано
  • Автор
Опубликовано

прикрепил три пары старый файл + зашифрованный. во всех трех случаях имена старого и зашифрованного файла не совпадают. так и должно быть: скачивая файл из почты я его переименовывал файл, но содержимое не менял. и вирус шифровал уже переименованный файл

 

1 час назад, safety сказал:

c:\users\Public\pictures

эта папка пустая, так же как и с музыкой и Видео

Пары файлов.zip

 

вот пара файлов, имена которых я не менял

4.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Скорее всего, это Salted2020, по которому мы не сможем вам помочь с расшифровкой.

+

проверьте ЛС.

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • АндрейП
      Шифровальщик READ-ME-Nullhexxx
      Автор АндрейП
      Здравствуйте. Зашифровали два стареньких сервера терминалов, источник не понятен- ещё разбираемся. Подскажите есть шанс на расшифровку? На одном сервере у одного пользователя нашел в папке Pictures остатки вредоносного ПО, на втором в новой созданной злоумышленником учетке system32 почти такие же файлы, пришлю по запросу.
       
      файлы.rar
    • WL787878
      Шифровальщик
      Автор WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • kokc1979
      Шифровальщик ooo4ps bitlocker
      Автор kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      Автор Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • h1b1
      Шифровальщик ooo4ps. bitlocker
      Автор h1b1
      Добрый день , были зашифрованы файлы с расширение ooop4s и диск залочили bitlocker 
      oc windows server 2019 standard
      заранее спасибо за помощь
      Addition.txt FILES_ENCRYPTED.txt FRST.txt files.rar
×
×
  • Создать...