Перейти к содержанию

Шифровальщик BitLocker зашифровал все диски и файлы.

ALFGreat
 Поделиться

Рекомендуемые сообщения

ALFGreat

ALFGreat

Опубликовано
Опубликовано

Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 

Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?

ALFGreat

ALFGreat

Опубликовано
  • Автор
Опубликовано
28 минут назад, safety сказал:

Добавьте все необходимые файлы и логи согласно правилам

(несколько зашифрованных файлов, записку о выкупе с оригинальным именем, логи FRST (Frst.txt, Addition.txt)

«Порядок оформления запроса о помощи».

 

Тело шифровальщика пока не нашел, сервер не трогал вообще, дабы не стереть следы. В архив вирус - несколько зашифрованных файлов, самого тела нет. Как его найти?

Addition.txt FILES_ENCRYPTED.txt FRST.txt Virus.rar

safety

safety

Опубликовано
Опубликовано
13 минут назад, ALFGreat сказал:

В архив вирус - несколько зашифрованных файлов, самого тела нет. Как его найти?

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

safety

safety

Опубликовано
Опубликовано
56 минут назад, ALFGreat сказал:

Как узнать под какой учеткой был запущен шифровальщик?

Атаковали скорее всего после взлома данной учетной записи. USR1CV83 (как и во всех предыдущих случаях с данным типом шифровальщика.)

ALFGreat

ALFGreat

Опубликовано
  • Автор
Опубликовано
7 часов назад, safety сказал:

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

 

А можете привести пример команды, при учете что диск С:

 

 

6 часов назад, safety сказал:

Атаковали скорее всего после взлома данной учетной записи. USR1CV83 (как и во всех предыдущих случаях с данным типом шифровальщика.)

 

Так у этого же пользователя практически прав нет....

safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, ALFGreat сказал:

А можете привести пример команды, при учете что диск С:

Примера команды у меня нет, есть только предположение, что в командной строке могут быть указанные ключевые слова.

 

Цитата

Так у этого же пользователя практически прав нет....

судя по предыдущим логам есть, если он даже журналы событий может очищать.

 

16.11.2024 16:07:37.201,Windows Event Log,"Log ""Windows PowerShell"" was cleared by *\USR1CV83."
16.11.2024 16:07:37.138,Windows Event Log,"Log ""System"" was cleared by *\USR1CV83."

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Олег Лобанов
      Зашифровались файлы .ooo4ps
      Автор Олег Лобанов
      Здесь зашифрованный файл и письмо с требованиями под паролем
      ooo4ps.rar
      Здесь файлы Addition и FRST без пароля
      FRST.rar
      Адрес вымогателя a38261062@gmail.com
       
      До кучи еще зашифровался диск D битлокером 
    • admmaa
      Шифровальщик ooo4ps.
      Автор admmaa
      Добрый день, зашифрованы файлы внутри системного диска С и диск D зашифрован полностью битлокером. При попытке зайти на диск D просит пароль. Так же мошенники добавили файл-сообщение. Прикрепляю записку с выкупом и архив с примерами шифрованных файлов. Прошу помочь в восстановлении данных.
      FILES_ENCRYPTED.txt totalcmd.rar
    • ivanlit
      Помогите расшифровать BitLocker расширение у всех файлов ooo4ps
      Автор ivanlit
      Добрый день. Помогите, пожалуйста, все файлы и диски зашифрованы BitLocker и имеют расширение ooo4ps
      Есть новый пользователь C:\Users\USR1CV83
      и там есть файл NTUSER.DAT
    • MikeP
      Шифровальщик заразил компьютер
      Автор MikeP
      Добрый день! Шифратор заразил компьютер, скорее всего в выходные 31.01.26, заметили только сегодня. Важные файлы стали формата .ooo4ps. Файрвол виндовс был отключен. Просьба по возможности помочь с дешифровкой. Логи анализа Farbar Recovery Scan Tool,заражённые файлы и сообщение вируса во вложении
      Addition.txt FRST.txt Зараженные файлы.rar
    • qwazz
      поймал шифровальщик ooo4ps
      Автор qwazz
      Добрый день, поймал шифровальщика , файлы с разрешением ooo4ps.   тут выкладывали дешифратор. но я не могу его скачать.
      Сообщение от модератора kmscom Сообщение перенесено из темы поймал шифровальщик ooo4ps
       
×
×
  • Создать...