Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!
Ко мне недавно обратился клиент, у которого был сервер. Этот сервер считался как второстепенный, а поскольку клиент работает по франшизе, то центральные сервера находились в Москве в головной организации.

 

На этом второстепенном сервере с флэшки запускался гипервизор VMware EXSi 6.7, и далее с жёсткого диска стартовали виртуальные машины, то бишь защитить гипервизор антивирусным решением не представлялось возможным.

 

На выходных была атака на центральные сервера головной компании, и помимо них оказался зашифрован и сервер моего клиента, все файлы виртуальных машин оказались потеряны, резервных копий не осталось (благодаря фирме, которая непосредственно обслуживает компьютеры и сервер этого клиента). Я даже не представляю, каким образом это получилось, если на сервере даже Windows не было, он работал чисто из-под гипервизора. Во всех папках был файл с названием "как восстановить файлы" (на английском), но внутри него ничего не было, никакого текста, никаких требований.

Сам файл вируса я предоставить не могу, могу лишь приложить файл "How To Restore Your Files.txt" без текста, и несколько файлов логов. Файлы дисков машин я приложить не могу, они "весят" более 100 гигов каждый.

 

Прошу оказать помощь в дешифровке файлов. У клиента имеется коммерческая лицензия Kaspersky Small Office Security

 

Вот ССЫЛКА на архив с примерами зашифрованных файлов, пароль - virus

 

Заранее благодарен!

 

 

Ссылка на комментарий
Поделиться на другие сайты

8 hours ago, Tivalee said:

Прошу оказать помощь в дешифровке файлов. У клиента имеется коммерческая лицензия Kaspersky Small Office Security

При наличие лицензии Вы можете напрямую обратиться в службу лаборатории Касперского.

 

Quote

Я даже не представляю, каким образом это получилось, если на сервере даже Windows не было, он работал чисто из-под гипервизора

Киберпреступники начали использовать новый вариант программы-вымогателя Babuk под названием SEXi: этот зловред нацелен на серверы VMware ESXi. На начало апреля 2024 года известно как минимум о четырёх атаках, в рамках которых злоумышленники требуют огромный выкуп за восстановление доступа к зашифрованной информации. И это не единственный тип шифровальщика, который выполняет шифрование виртуальных машин, работающих на платформе VMware ESXi.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

12 часов назад, safety сказал:

Киберпреступники начали использовать новый вариант программы-вымогателя Babuk под названием SEXi: этот зловред нацелен на серверы VMware ESXi. На начало апреля 2024 года известно как минимум о четырёх атаках, в рамках которых злоумышленники требуют огромный выкуп за восстановление доступа к зашифрованной информации. И это не единственный тип шифровальщика, который выполняет шифрование виртуальных машин, работающих на платформе VMware ESXi.

А как вообще вирус смог проникнуть в гипервизор, да ещё и запуститься, чтобы отключить все виртуальные машины и всё зашифровать? Ведь известно, что пока какой-либо файл занят программой, его система зашифровать не даст. Такое ощущение, что кто-то ручками поработал

Ссылка на комментарий
Поделиться на другие сайты

5 hours ago, Tivalee said:

А как вообще вирус смог проникнуть в гипервизор, да ещё и запуститься, чтобы отключить все виртуальные машины и всё зашифровать?

Вам лучше инициировать полноценное расследование данного киберинцидента с помощью IT-специалистов,  определить возможно ли восстановление зашифрованных виртуальных устройств, и предпринять на будущее меры безопасности чтобы исключить новые инциденты после восстановления работоспособности инфраструктуры.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...