Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!
Ко мне недавно обратился клиент, у которого был сервер. Этот сервер считался как второстепенный, а поскольку клиент работает по франшизе, то центральные сервера находились в Москве в головной организации.

 

На этом второстепенном сервере с флэшки запускался гипервизор VMware EXSi 6.7, и далее с жёсткого диска стартовали виртуальные машины, то бишь защитить гипервизор антивирусным решением не представлялось возможным.

 

На выходных была атака на центральные сервера головной компании, и помимо них оказался зашифрован и сервер моего клиента, все файлы виртуальных машин оказались потеряны, резервных копий не осталось (благодаря фирме, которая непосредственно обслуживает компьютеры и сервер этого клиента). Я даже не представляю, каким образом это получилось, если на сервере даже Windows не было, он работал чисто из-под гипервизора. Во всех папках был файл с названием "как восстановить файлы" (на английском), но внутри него ничего не было, никакого текста, никаких требований.

Сам файл вируса я предоставить не могу, могу лишь приложить файл "How To Restore Your Files.txt" без текста, и несколько файлов логов. Файлы дисков машин я приложить не могу, они "весят" более 100 гигов каждый.

 

Прошу оказать помощь в дешифровке файлов. У клиента имеется коммерческая лицензия Kaspersky Small Office Security

 

Вот ССЫЛКА на архив с примерами зашифрованных файлов, пароль - virus

 

Заранее благодарен!

 

 

Ссылка на сообщение
Поделиться на другие сайты
8 hours ago, Tivalee said:

Прошу оказать помощь в дешифровке файлов. У клиента имеется коммерческая лицензия Kaspersky Small Office Security

При наличие лицензии Вы можете напрямую обратиться в службу лаборатории Касперского.

 

Quote

Я даже не представляю, каким образом это получилось, если на сервере даже Windows не было, он работал чисто из-под гипервизора

Киберпреступники начали использовать новый вариант программы-вымогателя Babuk под названием SEXi: этот зловред нацелен на серверы VMware ESXi. На начало апреля 2024 года известно как минимум о четырёх атаках, в рамках которых злоумышленники требуют огромный выкуп за восстановление доступа к зашифрованной информации. И это не единственный тип шифровальщика, который выполняет шифрование виртуальных машин, работающих на платформе VMware ESXi.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
12 часов назад, safety сказал:

Киберпреступники начали использовать новый вариант программы-вымогателя Babuk под названием SEXi: этот зловред нацелен на серверы VMware ESXi. На начало апреля 2024 года известно как минимум о четырёх атаках, в рамках которых злоумышленники требуют огромный выкуп за восстановление доступа к зашифрованной информации. И это не единственный тип шифровальщика, который выполняет шифрование виртуальных машин, работающих на платформе VMware ESXi.

А как вообще вирус смог проникнуть в гипервизор, да ещё и запуститься, чтобы отключить все виртуальные машины и всё зашифровать? Ведь известно, что пока какой-либо файл занят программой, его система зашифровать не даст. Такое ощущение, что кто-то ручками поработал

Ссылка на сообщение
Поделиться на другие сайты
5 hours ago, Tivalee said:

А как вообще вирус смог проникнуть в гипервизор, да ещё и запуститься, чтобы отключить все виртуальные машины и всё зашифровать?

Вам лучше инициировать полноценное расследование данного киберинцидента с помощью IT-специалистов,  определить возможно ли восстановление зашифрованных виртуальных устройств, и предпринять на будущее меры безопасности чтобы исключить новые инциденты после восстановления работоспособности инфраструктуры.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • user2024
      От user2024
      Здравствуйте, поделитесь пожалуйста опытом - было заражение машин LockBit. Файлы резервных копий MS SQL Server были так же зашифрованы. Нами был получен дешифратор, но файлы размером 2 ТБ не расшифровались. Может у кого-то был опыт в расшифровке файлов такого объема? После работы дешифратора, если открыть файлы в hex редакторе то их структура не меняется (т.е. по какой-то причине дешифратор не обрабатывает файл). Может у кого-то был опыт с расшифровкой файлов такого объема?
    • fenixair
      От fenixair
      Произошло заражение. все файлы стали в расширении lomer
      Есть варианты решения?
    • Kenotron
      От Kenotron
      Добрый день!
      Сегодня обнаружили что в прошлую пятницу один из компьютеров подвергся атаке неопознанным ботом.
      Заражение скорее всего произошло удаленно, через сессию VNC.
      Комп отключили от сети.
      все файлы шифруются и в добавок к существующему расширению добавляется bot
      атрибуты файла не меняются за исключением времени доступа.
      Архив файла вымогателей и два зараженных файла прилагаются
      Лог работы команды Farbar Recovery Scan Tool прилагаются!
      Заранее спасибо!
       
       
      Addition.txt BOT.zip FRST.txt
    • this.is.dmitry
      От this.is.dmitry
      Здравствуйте
      Вскрыли через rdp и залили вирус, который зашифровал с расширением .fixed
      антивирус нашел ransom:win32/babuk.mak!mtb
      + появилась папка папка Intel с софтом и логами (прилагаю тоже)
      Пробовал дешифровщик babuk, результата нет
      Помогите, пожалуйста, вернуть файлы
       
       
      Текст
      ############## [ FIXED ransomware ] ##############
      * What happend?
      ----------------------------------------------
      Your computers and servers are encrypted, backups are deleted from your network and copied.
      We use strong encryption algorithms, so you cannot decrypt your data without us.
      But you can restore everything by purchasing a special program from us - a universal decoder.
      This program will restore your entire network. Follow our instructions below and you will recover all your data.
      If you continue to ignore this for a long time, we will start reporting the hack to mainstream media and posting
      your data to the dark web.

      * What guarantees?
      ----------------------------------------------
      We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests.
      All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems.
      We guarantee to decrypt one file for free. Go to the site and contact us.
      * How to contact us?
      ----------------------------------------------
      darkrevolution@tutanota.com
       
      virus.zip
    • zavorsk
      От zavorsk
      Добрый день.
      Подхватили шифровальщике kings.exe. 
      Он отключил антивирус Касперского и зашифровал файлы. Во вложении логи, собранные Farbar Recovery Scan Tool, и ранее подготовленный архив с зашифрованными файлами
      Шифровальщик_kings.zip
×
×
  • Создать...