Перейти к содержанию

Поймали шифровальщика, прошу помощи в определении и расшифровке

Сергей Комаров

Автор Сергей Комаров
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Сергей Комаров

Сергей Комаров

Опубликовано
Опубликовано

Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.

Пример зашифрованных файлов и readme прилагаю.

 

Прошу помощи в определении типа шифровальщика и расшифровке.

db2a95f2436fe2bc3ce6f2-README.txt Files.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Добавьте, пожалуйста, логи FRST с зашифрованного устройства.

Изменено пользователем safety
Сергей Комаров

Сергей Комаров

Опубликовано
  • Автор
Опубликовано (изменено)

Запускаем с консоли гипервизора, получили ошибку

image.thumb.png.29f2631a5331ab83820b8a8ce6354e1f.png

 

Приложил файлы, которые успели сгенериться до вылета

FRST.txt Addition.txt

Изменено пользователем Сергей Комаров
safety

safety

Опубликовано
Опубликовано (изменено)

К сожалению, для HsHarada нет расшифровки без приватного ключа. Для расследования инцидента взлома с последующим шифрованием, при наличие лицензии на продукты ЛК лучше обратиться с запросом в техническую поддержку.

Изменено пользователем safety
Сергей Комаров

Сергей Комаров

Опубликовано
  • Автор
Опубликовано

Спасибо за информацию, будем думать как поступить...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Pristan
      Шифровальщик зашифровал сервера Window Server
      Автор Pristan
      Зашифровались почти все сервера на MS Windows server.
      Пример зашифрованных файлов, требования и логи во вложении.
       
      По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.
       
      Спасибо.
      Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt
    • ovfilinov
      поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3
      Автор ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • Zafod
      HEUR:Trojan-Ransom.Win32.Generic
      Автор Zafod
      Произошло шифрование файлом Locker.exe из под учётной записи администратора домена admin$ (создан вирусом). Время когда учётка админа (admin$) была создана удалено из логов (из логов пропали сутки). На сервере установлен Kaspersky Endpoint Security под управлением KSC, вирус был обнаружен, скопирован в карантин, удалён, но данные всё равно зашифрованы. Машина с KSC так же зашифрована и не стартует.
      1.zip
    • Razor103
      Помогите в расшифровке файлов
      Автор Razor103
      Добрый день.
      Помогите пожалуйста, сегодня в компанию просочился вирус-шифровальщик, который зашифровал все файловое хранилище. Очень важный сервер рухнул и соответственно все файлы на файловом хранилище. Кто может помочь расшифровать и что для этого нужно напишите пожалуйста.
      Пример зашифрованного файла и письмо вымогателя прикрепил.пример и письмо.rar
    • IvanSakh
      Поймали шифровальщик 58f9e96cf239c4
      Автор IvanSakh
      Добрый день, поймали шифр овальщик расширение стало 58f9e96cf239c4, зашифрованные файлы, лог сканирования системы и фаил с требованием во вложении.
      E.zip
×
×
  • Создать...