Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Зашифрованы диски

madlab
 Поделиться

Рекомендуемые сообщения

madlab Новичок

madlab

Опубликовано
Опубликовано (изменено)

На компьютере зашифрованы диски. В системе был установлен Kaspersky Small Office Security (сейчас он в системе не обнаруживается).
При обращении к диску требуется ввести пароль.
Системный диск не зашифрован. На нем встречаются файлы с расширением "ooo4ps".

В архиве "UCPStorage.7z" есть зашифрованный (и, похоже, он же, но не зашифрованный) файл.
Kaspersky Virus Removal Tool угроз не обнаружил.

Есть ли возможность помочь?
Спасибо.

FRST.txt UCPStorage.7z

Изменено пользователем madlab
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Диски зашифрованы Bitlocker?

 

а эти файлы? старое было шифрование?

2024-10-08 15:54 - 2024-10-05 13:37 - 015428108 _____ C:\Users\User07\Desktop\ВЕСЬ РЕЕСТР.xlsx.id-9A1EC64A.[decrypthelp@qq.com].java
2024-10-08 15:54 - 2024-10-05 13:37 - 000016432 _____ C:\Users\User07\Desktop\ВЕСЬ РЕЕСТР.xls.id-9A1EC64A.[decrypthelp@qq.com].java
2024-10-08 15:54 - 2024-10-05 13:37 - 000016000 _____ C:\Users\User07\Desktop\ВЕСЬ РЕЕСТР.mxl.id-9A1EC64A.[decrypthelp@qq.com].java
2024-10-08 15:54 - 2024-10-05 13:37 - 000001222 _____ C:\Users\User07\Desktop\ПП_МаксВысота.id.id-9A1EC64A.[decrypthelp@qq.com].java

Можете их (1-2 файла) так же добавить в архиве?

+

проверьте ЛС

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
madlab Новичок

madlab

Опубликовано
  • Автор
Опубликовано (изменено)
1 час назад, safety сказал:

Диски зашифрованы Bitlocker?

 

а эти файлы? старое было шифрование?

2024-10-08 15:54 - 2024-10-05 13:37 - 015428108 _____ C:\Users\User07\Desktop\ВЕСЬ РЕЕСТР.xlsx.id-9A1EC64A.[decrypthelp@qq.com].java
2024-10-08 15:54 - 2024-10-05 13:37 - 000016432 _____ C:\Users\User07\Desktop\ВЕСЬ РЕЕСТР.xls.id-9A1EC64A.[decrypthelp@qq.com].java
2024-10-08 15:54 - 2024-10-05 13:37 - 000016000 _____ C:\Users\User07\Desktop\ВЕСЬ РЕЕСТР.mxl.id-9A1EC64A.[decrypthelp@qq.com].java
2024-10-08 15:54 - 2024-10-05 13:37 - 000001222 _____ C:\Users\User07\Desktop\ПП_МаксВысота.id.id-9A1EC64A.[decrypthelp@qq.com].java

Можете их (1-2 файла) так же добавить в архиве?

+

проверьте ЛС

Да, 2 недели назад.
Мы думали, что справились с проблемой, но...
К стати 2 недели назад и был установлен Касперский вместо Дефендера от майкрософт
 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
17 часов назад, madlab сказал:

Да, 2 недели назад.
Мы думали, что справились с проблемой, но...

Можете их (1-2 файла из перечисленных) так же добавить в архиве?

сервер переставляли после атаки шифровальщика c *.java? или просто зачистили?

 

По данному типу шифровальщика не сможем помочь с восстановлением зашифрованных файлов.

 

теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
    • Alkart1975
      Зашифровали диск с данными српедствами BitLocker
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
    • Eugene_aka_Hades
      Диски с базами 1С зашифровали шифровальщиком dreed
      Автор Eugene_aka_Hades
      Здравствуйте,
       
      вчера ломанули сервер с файловой 1С-кой, зашифровали все имеющиеся диски, почистили все резервные копии (пока были настроены только теневые копии), а размещенные файлы теперь имеют расширение dreed.
      Попробовал порталы www.nomoreransom.org, noransom.kaspersky.com, но они не смогли определить данный шифровальщик.
       
      Первый раз сталкиваюсь с этой бедой, подскажите, что делать?
×
×
  • Создать...