Перейти к содержанию

Шифровальщик BitLocker зашифровал все диски и файлы.

ALFGreat
 Поделиться

Рекомендуемые сообщения

ALFGreat Новичок

ALFGreat

Опубликовано
Опубликовано

Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 

Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Добавьте все необходимые файлы и логи согласно правилам

(несколько зашифрованных файлов, записку о выкупе с оригинальным именем, логи FRST (Frst.txt, Addition.txt)

«Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
ALFGreat Новичок

ALFGreat

Опубликовано
  • Автор
Опубликовано
28 минут назад, safety сказал:

Добавьте все необходимые файлы и логи согласно правилам

(несколько зашифрованных файлов, записку о выкупе с оригинальным именем, логи FRST (Frst.txt, Addition.txt)

«Порядок оформления запроса о помощи».

 

Тело шифровальщика пока не нашел, сервер не трогал вообще, дабы не стереть следы. В архив вирус - несколько зашифрованных файлов, самого тела нет. Как его найти?

Addition.txt FILES_ENCRYPTED.txt FRST.txt Virus.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
13 минут назад, ALFGreat сказал:

В архив вирус - несколько зашифрованных файлов, самого тела нет. Как его найти?

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
56 минут назад, ALFGreat сказал:

Как узнать под какой учеткой был запущен шифровальщик?

Атаковали скорее всего после взлома данной учетной записи. USR1CV83 (как и во всех предыдущих случаях с данным типом шифровальщика.)

Ссылка на комментарий
Поделиться на другие сайты
ALFGreat Новичок

ALFGreat

Опубликовано
  • Автор
Опубликовано
7 часов назад, safety сказал:

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

 

А можете привести пример команды, при учете что диск С:

 

 

6 часов назад, safety сказал:

Атаковали скорее всего после взлома данной учетной записи. USR1CV83 (как и во всех предыдущих случаях с данным типом шифровальщика.)

 

Так у этого же пользователя практически прав нет....

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
1 час назад, ALFGreat сказал:

А можете привести пример команды, при учете что диск С:

Примера команды у меня нет, есть только предположение, что в командной строке могут быть указанные ключевые слова.

 

Цитата

Так у этого же пользователя практически прав нет....

судя по предыдущим логам есть, если он даже журналы событий может очищать.

 

16.11.2024 16:07:37.201,Windows Event Log,"Log ""Windows PowerShell"" was cleared by *\USR1CV83."
16.11.2024 16:07:37.138,Windows Event Log,"Log ""System"" was cleared by *\USR1CV83."

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
    • Alkart1975
      Зашифровали диск с данными српедствами BitLocker
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
    • Александр Черенов
      Зашифрованы диски на серверах BitLocker, все кроме системных. Помогите пожалуйста
      Автор Александр Черенов
      Добрый день. Прошу помощи. Ночью зашифровали все диски на 2-х серверах. Все диски кроме системных. Bitlocker. Ну и естественно оставили файл с требованием оплатить деньги на криптокошелек.( почта bitlockerlock.unlock@gmail.com и davidblaine@mail2world.com)
      На серверах было все - базы, бекапы, документы и т.д. Очень прошу помочь. Оплатим работы.
      Мой номер +7919893**** (ватсап, телега, звонки)
    • juzvel
      BitLocker зашифрованы кроме системного раздела.
      Автор juzvel
      Добрый день. Зашифровались BitLocker'ом разделы, кроме системного. Диск смонтированный как папка не тронут(Это на другом ПК, с того хожу на этот по рдп). РДП открыт на нестандартном порту. Так же был изменен пароль пользователя, с этим разобрался. Шифрованых файлов на системном диске не обнаружил
      FRST.txtAddition.txtPLEASE READ.txt 
    • Eugene_aka_Hades
      Диски с базами 1С зашифровали шифровальщиком dreed
      Автор Eugene_aka_Hades
      Здравствуйте,
       
      вчера ломанули сервер с файловой 1С-кой, зашифровали все имеющиеся диски, почистили все резервные копии (пока были настроены только теневые копии), а размещенные файлы теперь имеют расширение dreed.
      Попробовал порталы www.nomoreransom.org, noransom.kaspersky.com, но они не смогли определить данный шифровальщик.
       
      Первый раз сталкиваюсь с этой бедой, подскажите, что делать?
×
×
  • Создать...