Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Зашифровали файли расширением oo4ps и диски Bitlocker

Garand
 Поделиться

Рекомендуемые сообщения

Garand

Garand

Опубликовано
Опубликовано

Windows Server 2012 R2

Спокойно работали 29.11.2024  и в 09:40 перестали быть доступны сетевые файлы и появилась ошибка 1С.

в текстовом файле указана почта для восстановления:
Write to email: a38261062@gmail.com
 

Во вложении текстовый файл и несколько зашифрованных файлов

FILES_ENCRYPTED.rar Desktop.rar

safety

safety

Опубликовано
Опубликовано (изменено)

Добавьте, пожалуйста, логи FRST из зашифрованной системы.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

процессы сканирования системы завершены?

 

(AO Kaspersky Lab -> AO Kaspersky Lab) C:\Users\836D~1\AppData\Local\Temp\3\{57007062-2770-42d8-9941-23137ec2d1c3}\0de56fbd.exe

(C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\ceMUyRysM.exe ->) (Doctor Web Ltd. -> ) C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\TNRfzhsl.exe
(C:\Users\Администратор\Downloads\2fexe8yw.exe ->) (Doctor Web Ltd. -> ) C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\ceMUyRysM.exe
(C:\Users\Администратор\Downloads\2fexe8yw.exe ->) (Doctor Web Ltd. -> ) C:\Users\Администратор\AppData\Local\Temp\3\C4FFA544-BFC18582-4BA2DC76-F102682\N5OJnF4Ad8Ois.exe

 

+

Это что у вас запускается из папки автозапуска?

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\kWnd.exe [2020-05-10] () [Файл не подписан]

 

 

Изменено пользователем safety
Garand

Garand

Опубликовано
  • Автор
Опубликовано

kwnd - не помню чтобы я его ставил, дата изменения файла 10.05.2020. в инете говорят для 1с штука.

удалил на всякий случай.

 

image.thumb.png.4e7248ca0f481711265dbb3d7460f849.png

safety

safety

Опубликовано
Опубликовано

Пробуйте выполнить на диске поииск исполняемых файлов, созданных на момент шифрования, содержащих подстроку "salted"

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Тунсю
      Поймали шифровальщик "ooo4ps" Bitlocker
      Автор Тунсю
      Здравствуйте! Подхватили заразу a38261062@gmail.com ooo4ps, зашифрованы на сервере файлы на рабочем столе и диски, как вернуть сервер в штатный режим и обезопасить себя в будущем,  может есть какое-то решение?
      при проверки сервера угрозы не были найдены 
    • Pospelovdima
      ooo4ps a38261062@gmail.com
      Автор Pospelovdima
      Подхватил заразу a38261062@gmail.com ooo4ps  может есть у кого решение ?
    • Dorark
      Вирус зашифровал базы 1с, sql добавил раcширение rag2hdst
      Автор Dorark
      Здравствуйте!
      Такая же проблема. 26.04.2020 г. на сервере обнаружили, что подцепили вирус вымогатель. Перестал работать 1с, SQL. На файлах резервных копий sql и еще на некоторых файлах появилось расширение .rag2hdst . В каждой папке появился файл DECRIPT_FILES.TXT. Прилагаю логи FRST, DECRIPT_FILES.TXT и зашифрованный файл. 
      Addition.txt cache.1CD.rag2hdst DECRIPT_FILES.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.  
    • rokhaund
      Шифровальщик зашифровал базы данных
      Автор rokhaund
      Здравствуйте! Вчера на сервере с базами 1С, dr.web нашел и убил вирус. После чего обнаружил что все базы 1с зашифрованы и имеют расширение rag2hdst. В каждой папке лежит файлик DECRIPT_FILES.txt В котором естественно просят денег. Зашифрованный файл прикрепил к сообщению. Так же файлик с логами...
      Подскажите пожалуйста, реально ли расшифровать файлы?
      Спасибо...
    • DruzhyninS
      [РЕШЕНО] Вирус Шифровщик
      Автор DruzhyninS
      Шифровщик Стартонул и ломанул все - бэкапы были акроним зашифрованном разделе  - и те удалило !
      Помогите восстановить хоть один файл бекапа системы!
       
       
      Decrypting your files is easy. Take a deep breath and follow the steps below. 
       
      1 ) Make the proper payment.  Payments are made in Monero. This is a crypto-currency, like bitcoin. You can buy Monero, and send it, from the same places you can any other crypto-currency. If you're still unsure, google 'monero exchange'.    Sign up at one of these exchange sites and send the payment to the address below.   Payment Address (Monero Wallet):    87ZAuEY2UbsaW8u4juM6J7Pr74HAQLeESHycWNzT9nhML4MkqHaLy9fQMGKQRCzKiJS7e6h8BDSaHHsiJd9hLtHRKVhpKgi   2 ) Farther you should send your ip address to email address name4v@keemail.me Then you will receive all necessary key.    Prices : Days : Monero : Offer Expires  0-2 : 600$ :  13/01/2020  3-6 : 1000$ : 17/01/2020   Note: In 7 days your password decryption key gets permanently deleted.  You then have no way to ever retrieve your files. So pay now. Addition.txt
      FRST.txt
      DECRIPT_FILES.txt
×
×
  • Создать...