Перейти к содержанию

Зашифровали файли расширением oo4ps и диски Bitlocker

Garand
 Поделиться

Рекомендуемые сообщения

Garand

Garand

Опубликовано
Опубликовано

Windows Server 2012 R2

Спокойно работали 29.11.2024  и в 09:40 перестали быть доступны сетевые файлы и появилась ошибка 1С.

в текстовом файле указана почта для восстановления:
Write to email: a38261062@gmail.com
 

Во вложении текстовый файл и несколько зашифрованных файлов

FILES_ENCRYPTED.rar Desktop.rar

safety

safety

Опубликовано
Опубликовано (изменено)

Добавьте, пожалуйста, логи FRST из зашифрованной системы.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

процессы сканирования системы завершены?

 

(AO Kaspersky Lab -> AO Kaspersky Lab) C:\Users\836D~1\AppData\Local\Temp\3\{57007062-2770-42d8-9941-23137ec2d1c3}\0de56fbd.exe

(C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\ceMUyRysM.exe ->) (Doctor Web Ltd. -> ) C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\TNRfzhsl.exe
(C:\Users\Администратор\Downloads\2fexe8yw.exe ->) (Doctor Web Ltd. -> ) C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\ceMUyRysM.exe
(C:\Users\Администратор\Downloads\2fexe8yw.exe ->) (Doctor Web Ltd. -> ) C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\N5OJnF4Ad8Ois.exe

 

+

Это что у вас запускается из папки автозапуска?

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\kWnd.exe [2020-05-10] () [Файл не подписан]

 

 

Изменено пользователем safety
Garand

Garand

Опубликовано
  • Автор
Опубликовано

kwnd - не помню чтобы я его ставил, дата изменения файла 10.05.2020. в инете говорят для 1с штука.

удалил на всякий случай.

 

image.thumb.png.4e7248ca0f481711265dbb3d7460f849.png

safety

safety

Опубликовано
Опубликовано

Пробуйте выполнить на диске поииск исполняемых файлов, созданных на момент шифрования, содержащих подстроку "salted"

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Anadartes
      Поймал вирус-шифровальщик "ooo4ps"
      Автор Anadartes
      Всем добрый вечер.
      Вчера после очередного обновления 1С, примерно в 20:30 - 20:40 на выделенный удаленный сервер подхватили шифровальщика, проблему заметил сегодня с утра, сервер был перезагружен, когда я вошел в него, увидел что половина моих файлов, в том числе и базы 1С приняли расширение "OOO4PS" после этого, соответственно, базы перестали открываться, все нужные файлы были заражены, автоматически открылся файл об выкупе от мошенников, подскажите, пожалуйста, какое то решение проблемы.
      Все необходимые файлы прикладываю, если нужно что то еще, готов дополнить.
      Addition.txt FRST.txt Помощь.rar
    • soulseal
      помощь с шифровальщиком
      Автор soulseal
      Здравствуйте
       
      Подхватили шифровальщика, возможно помочь с расшифровкой?
      Логи FRST, требования и зашифрованный файл прикладываю
      FRST.txt Addition.txt FILES_ENCRYPTED.txt crypt.zip
    • KHAN
      Шифровальщик ooo4ps
      Автор KHAN
      Добрый день.
       
      Поймали шифровальщика ooo4ps.
      Логи собраны, во вложении.
      Прошу помочь.
      CollectionLog-2025.10.13-12.10.zip
      FRST.zip Шифрованный файл.zip
    • Тунсю
      Поймали шифровальщик "ooo4ps" Bitlocker
      Автор Тунсю
      Здравствуйте! Подхватили заразу a38261062@gmail.com ooo4ps, зашифрованы на сервере файлы на рабочем столе и диски, как вернуть сервер в штатный режим и обезопасить себя в будущем,  может есть какое-то решение?
      при проверки сервера угрозы не были найдены 
    • Pospelovdima
      ooo4ps a38261062@gmail.com
      Автор Pospelovdima
      Подхватил заразу a38261062@gmail.com ooo4ps  может есть у кого решение ?
×
×
  • Создать...