Перейти к содержанию

Шифровальщик BitLocker зашифровал все диски и файлы.

ALFGreat
 Поделиться

Рекомендуемые сообщения

ALFGreat

ALFGreat

Опубликовано
Опубликовано

Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 

Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?

ALFGreat

ALFGreat

Опубликовано
  • Автор
Опубликовано
28 минут назад, safety сказал:

Добавьте все необходимые файлы и логи согласно правилам

(несколько зашифрованных файлов, записку о выкупе с оригинальным именем, логи FRST (Frst.txt, Addition.txt)

«Порядок оформления запроса о помощи».

 

Тело шифровальщика пока не нашел, сервер не трогал вообще, дабы не стереть следы. В архив вирус - несколько зашифрованных файлов, самого тела нет. Как его найти?

Addition.txt FILES_ENCRYPTED.txt FRST.txt Virus.rar

safety

safety

Опубликовано
Опубликовано
13 минут назад, ALFGreat сказал:

В архив вирус - несколько зашифрованных файлов, самого тела нет. Как его найти?

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

safety

safety

Опубликовано
Опубликовано
56 минут назад, ALFGreat сказал:

Как узнать под какой учеткой был запущен шифровальщик?

Атаковали скорее всего после взлома данной учетной записи. USR1CV83 (как и во всех предыдущих случаях с данным типом шифровальщика.)

ALFGreat

ALFGreat

Опубликовано
  • Автор
Опубликовано
7 часов назад, safety сказал:

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

 

А можете привести пример команды, при учете что диск С:

 

 

6 часов назад, safety сказал:

Атаковали скорее всего после взлома данной учетной записи. USR1CV83 (как и во всех предыдущих случаях с данным типом шифровальщика.)

 

Так у этого же пользователя практически прав нет....

safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, ALFGreat сказал:

А можете привести пример команды, при учете что диск С:

Примера команды у меня нет, есть только предположение, что в командной строке могут быть указанные ключевые слова.

 

Цитата

Так у этого же пользователя практически прав нет....

судя по предыдущим логам есть, если он даже журналы событий может очищать.

 

16.11.2024 16:07:37.201,Windows Event Log,"Log ""Windows PowerShell"" was cleared by *\USR1CV83."
16.11.2024 16:07:37.138,Windows Event Log,"Log ""System"" was cleared by *\USR1CV83."

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • qwazz
      поймал шифровальщик ooo4ps
      Автор qwazz
      Добрый день, поймал шифровальщика , файлы с разрешением ooo4ps.   тут выкладывали дешифратор. но я не могу его скачать.
      Сообщение от модератора kmscom Сообщение перенесено из темы поймал шифровальщик ooo4ps
       
    • JesikaBin
      Поймали шифровальщик ooo4ps
      Автор JesikaBin
      Добрый день. Поймали шифровальщик, вымогают деньги 2000$ для расшифровки. В 1с войти не можем, на диск, где хранятся бэкапы тоже никак не войти. У нас арендованный сервер Windows Server. Как быть?

      virus.rar
    • Ivan_S
      Шифровальщик .ooo4ps
      Автор Ivan_S
      Добрый день. Пойммали вирус-шифровальщик на сервер. выяснили что все действия проводились через пользователя под которым крутилась 1с, однако была создана его копия, в которой хранится файл DiskCryptor. Ниже прикрепляю файл логов, а так же пара зашифрованных файлов вместе с архивом вируса

       
      Files.rar FRST.txt virus.rar
    • aryanatha
      Заразились шифровальщиком
      Автор aryanatha
      Здравствуйте
      Сервер под управлением Windows Server 2012 R2
      Заходили на него используя RDP
      2 диска зашифровались BitLockerом
      Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
      В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
      Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
      в приложении логи анализа и да зашифрованный файла Эксель.
      файл с вирусом не нашли. требований денег не нашли
      возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 
      и после этого с дестопа по RDP ходил на сервер
      прошу помощи
    • pizzador
      Помощь в борьбе с шифровальщиками-вымогателями
      Автор pizzador
      Доброго времени суток. В компании работаю не давно,сервер находится на удаленке.Был доступ по РДП . Микротика не было.Заказал,но не успел прийти.По итогу после многочисленных атак ,в сервер проник шифровальщик и все закрыл.Бекапы делались на другие диски.Они заблокированы битлокером . Расшерение .le0
      Addition.txt FRST.txt Shortcut.txt Ильинский до корректировок осв.xlsx.zip
×
×
  • Создать...