Перейти к содержанию

Вымогатели заархивировали в WinRAR данные папок и запаролили архив


Рекомендуемые сообщения

Добрый день! Нас атаковали злоумышленники. Заархивировали все наши рабочие папки с помощью WinRar. На диске С успели удалить неархивные папки. На диске E и съемном жестком диске G заархивировав и запаролив, всю информацию удалить не успели, т.к. мы заметили их присутствие и выключили компьютер. С помощью программы Recuva удалось вычислить, что они подключились под учеткой User-2 19.07.2024 г в 17:38, создали учетку Update, под которой зашли в 17:46. Мы их обнаружили в 20:55 19.07.2024 и выключили компьютер. Т.к. они не успели доделать свое гиблое дело, то никакого письма на компьютере у нас не оказалось. Но тем не менее, папки заархивированы и пароль неизвестен. С системой на диске С ничего не делали. Запустили программу PassFab for RAR, но этот процесс бесконечен. Также пытались восстановить файлы с помощью Recuva и ShadowExplorer. Файлы восстанавливают, однако они не открываются, т.к. оказываются поврежденными.

 

Заранее благодарим за советы или возможную помощь.

Спойлер

 

Безымянный5.png

Безымянный1.png

Безымянный2.png

Безымянный3.png

Безымянный4.png

Безымянный6.png

Безымянный7.png

Безымянный8.png

Безымянный9.png

Безымянный10.png

БезымянныйC.png

БезымянныйE.png

БезымянныйG.png

 

 

Addition.txt FRST.txt Recuva_deleted_files_от новых к старым_с19.07.2024_17.38.txt

Ссылка на сообщение
Поделиться на другие сайты

Добрый день на сегодня! Вопрос: возможно Вы сможете сообщить, где в реестрах/следах истории windows 10 Pro возможно найти следы паролей на созданные злоумышленниками WinRAR-архивы? Ведь систему Windows и следы созданной злоумышленниками учетной записи я вижу в системе...

Ссылка на сообщение
Поделиться на другие сайты

Если бы все было так элементарно, как Вы думаете, то это сводило бы на нет все такие случаи

Ссылка на сообщение
Поделиться на другие сайты

СПАСИБО Вам за ответ! Я всего лишь обычный пользователь компьютера, финансист. Поэтому так наивна. Еще раз БЛАГОДАРЮ!

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • YKR
      От YKR
      Всем привет.
       
      Вот такая интересная ситуация. Имеется ноут с Windows 10. Стоит там Агент 14.0.0.10902 и KES 12.2. Необходимо удалить агента, так как он не подчиняется политикам и сервер отображает неверную информацию о нем.
      При удалении агента стандартными методами Windows запрашивает пароль. При попытке с помощью утилиты cleaner удалить агента так же запрашивает пароль. 
      Пароль неизвестен. В политиках убрал защиту паролем при удалении. Но это не помогает.
      Вопрос в техподдержку отправил, однако может кто сталкивался с подобной ситуацией.
      Версия KSC 13я.
    • Энни
      От Энни
      Здравствуйте, сегодня оказалась закрыта функция защита паролем, и я не могу его поставить. Скажите пожалуйста, что можно сделать, чтобы мне открыть эту функцию и поставить пароль? 

    • Алексей387
    • mikbrazh
      От mikbrazh
      Здравствуйте! При подключении к серверу администрирования (KSC 13) через консоль сервера администрирования (mmc), подключение осуществляется автоматически под текущими пользователем без запроса логина и пароля. Скажите, есть ли возможность сделать так, чтобы в начале всегда появлялось окно с вводом логина и пароля? И при этом сервер не уходил в ошибку.
       
       

    • Ilnazg
      От Ilnazg
      Добрый день зашифрованы фалы базы SQL  и документы, создалась групповая политика и распространила администраторов на сервера и из поднего зашифровала файлы. Политику отключили пароли админов сменили, локальных админов удалили.
      DATA.7z FRST.txt Addition.txt
×
×
  • Создать...