Перейти к содержанию

Зашифровали файли расширением oo4ps и диски Bitlocker

Garand
 Поделиться

Рекомендуемые сообщения

Garand

Garand

Опубликовано
Опубликовано

Windows Server 2012 R2

Спокойно работали 29.11.2024  и в 09:40 перестали быть доступны сетевые файлы и появилась ошибка 1С.

в текстовом файле указана почта для восстановления:
Write to email: a38261062@gmail.com
 

Во вложении текстовый файл и несколько зашифрованных файлов

FILES_ENCRYPTED.rar Desktop.rar

safety

safety

Опубликовано
Опубликовано (изменено)

Добавьте, пожалуйста, логи FRST из зашифрованной системы.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

процессы сканирования системы завершены?

 

(AO Kaspersky Lab -> AO Kaspersky Lab) C:\Users\836D~1\AppData\Local\Temp\3\{57007062-2770-42d8-9941-23137ec2d1c3}\0de56fbd.exe

(C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\ceMUyRysM.exe ->) (Doctor Web Ltd. -> ) C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\TNRfzhsl.exe
(C:\Users\Администратор\Downloads\2fexe8yw.exe ->) (Doctor Web Ltd. -> ) C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\ceMUyRysM.exe
(C:\Users\Администратор\Downloads\2fexe8yw.exe ->) (Doctor Web Ltd. -> ) C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\N5OJnF4Ad8Ois.exe

 

+

Это что у вас запускается из папки автозапуска?

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\kWnd.exe [2020-05-10] () [Файл не подписан]

 

 

Изменено пользователем safety
Garand

Garand

Опубликовано
  • Автор
Опубликовано

kwnd - не помню чтобы я его ставил, дата изменения файла 10.05.2020. в инете говорят для 1с штука.

удалил на всякий случай.

 

image.thumb.png.4e7248ca0f481711265dbb3d7460f849.png

safety

safety

Опубликовано
Опубликовано

Пробуйте выполнить на диске поииск исполняемых файлов, созданных на момент шифрования, содержащих подстроку "salted"

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ivan_S
      Шифровальщик .ooo4ps
      Автор Ivan_S
      Добрый день. Пойммали вирус-шифровальщик на сервер. выяснили что все действия проводились через пользователя под которым крутилась 1с, однако была создана его копия, в которой хранится файл DiskCryptor. Ниже прикрепляю файл логов, а так же пара зашифрованных файлов вместе с архивом вируса

       
      Files.rar FRST.txt virus.rar
    • aryanatha
      Заразились шифровальщиком
      Автор aryanatha
      Здравствуйте
      Сервер под управлением Windows Server 2012 R2
      Заходили на него используя RDP
      2 диска зашифровались BitLockerом
      Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
      В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
      Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
      в приложении логи анализа и да зашифрованный файла Эксель.
      файл с вирусом не нашли. требований денег не нашли
      возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 
      и после этого с дестопа по RDP ходил на сервер
      прошу помощи
    • pizzador
      Помощь в борьбе с шифровальщиками-вымогателями
      Автор pizzador
      Доброго времени суток. В компании работаю не давно,сервер находится на удаленке.Был доступ по РДП . Микротика не было.Заказал,но не успел прийти.По итогу после многочисленных атак ,в сервер проник шифровальщик и все закрыл.Бекапы делались на другие диски.Они заблокированы битлокером . Расшерение .le0
      Addition.txt FRST.txt Shortcut.txt Ильинский до корректировок осв.xlsx.zip
    • eNCwaer
      Зашифрованы файлы Salted
      Автор eNCwaer
      Добрый день! Сегодня утром поймали шифровальщик.
      В наименования файлов добавилось .le0
      Так же всплывает текстовый документ со следующим содержимым:
      "All your data has been locked us
      You want to return?
      Write email adk0@keemail.me"

      Файлы в архиве
      Пароль 123
      Files.rar
    • Дмитрий Миняев
      Зашифрованы файлы
      Автор Дмитрий Миняев
      Добрый день.
      Зашифровались данные на сервере. На сервере был установлен Small Buziness security, он не зашифровался.
      Данные по серверу, файл txt и примеры зашифрованных файлов прилагаю.
      Addition.txt FRST.txt FILES_ENCRYPTED.txt server.rar
×
×
  • Создать...