salted2020 Поймал шифровальщик ooo4ps и Bitlocker

[AndOrNot]

Сегодня с утра обнаружилось, что файлы документов на системном диске сервера 1С зашифрованы шифровальщиком. В папках содержится файл FILES_ENCRYPTED.txt, файлы имеют расширение .ooo4ps, локальный диск E:, на котором содержались базы 1С, заблокирован Bitlocker. USB диск, подключенный к серверу и содержавший Windows Backup, пустой. Судя по времени создания файлов, вредонос работал утром в субботу. Прошу помощи.

 

ooo4ps.zip

Изменено 18 ноября, 2024 пользователем AndOrNot

[safety]

Сделайте архив папки

2024-11-18 10:09 - 2024-11-18 10:40 - 000000000 ____D C:\KVRT2020_Data

так же загрузите архив в ваше сообщение

[AndOrNot]

KVRT не смог запуститься, при запуске говорил, что не может создать файлы.

KVRT2020_Data.zip

[safety]

Проверьте, пожалуйста, в темповых папках  ученой записи

2024-11-16 09:53 - 2024-09-02 10:13 - 000000000 ____D C:\Users\USR1CV83

есть ли подозрительные исполняемые или скриптовые файлы на момент шифрования

+

проверьте ЛС

 

[AndOrNot]

Темповые папки на момент шифрования находились на диске E:, который стал недоступен после залочки Bitlocker'ом.

[safety]

Интересно, в каком порядке отработал шифровальщик: зашифровал файлы на системном, затем закрыл битлокером другие диски, или наоборот?

[AndOrNot]

Он закрыл битлокером только диск E: - быстрый серверный SSD, на котором были базы PostgreSQL и темповые папки. Судя по времени создания, сначала он раскидал во все папки файл с адресом своей почты, потом зашифровал документы в этих папках. После зачистил внешний USB диск с бэкапом. На каком этапе залочил диск с данными, сказать сложно. Логов Bitlocker не осталось. Может быть я не всё посмотрел и где-то следы остались.