hsharada поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3

[ovfilinov]

Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
На них установлен kaspersky Securiti for windows server версия вероятно 10.1
неожиданно перестали работать
при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
имя файла.расширение.6a19a55854eee3 например:

IT Invent_export_14-09-2022.xls.6a19a55854eee3
а также в каждый каталог добавлен файл с вымогательством
6a19a55854eee3-README.txt

при обнаружении все компьютеры были выключены.
 

files.zip FRST.txt

[safety]

Судя по шаблону зашифрованного файла и записке о выкупе файлы зашифрованы HsHarada

Подробная информация по данному шифровальщику есть в обзорной статье

Имя шифровальщика может быть locker.exe,

Пробуйте выполнить поиск на зашифрованных устройствах.

Шифрование содержимого файлов осуществляется с использованием алгоритма AES-256 CFB, сгенерированный для каждого файла ключ AES  шифруется с помощью публичного ключа RSA-2048, содержащегося в коде программы.

Расшифровка файлов возможна при наличие приватного ключа RSA-2048, который создан на стороне злоумышленников.

Изменено 11 декабря, 2024 пользователем safety