Перейти к содержанию

Шифровальщик BitLocker зашифровал все диски и файлы.

ALFGreat
 Поделиться

Рекомендуемые сообщения

ALFGreat

ALFGreat

Опубликовано
Опубликовано

Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 

Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?

ALFGreat

ALFGreat

Опубликовано
  • Автор
Опубликовано
28 минут назад, safety сказал:

Добавьте все необходимые файлы и логи согласно правилам

(несколько зашифрованных файлов, записку о выкупе с оригинальным именем, логи FRST (Frst.txt, Addition.txt)

«Порядок оформления запроса о помощи».

 

Тело шифровальщика пока не нашел, сервер не трогал вообще, дабы не стереть следы. В архив вирус - несколько зашифрованных файлов, самого тела нет. Как его найти?

Addition.txt FILES_ENCRYPTED.txt FRST.txt Virus.rar

safety

safety

Опубликовано
Опубликовано
13 минут назад, ALFGreat сказал:

В архив вирус - несколько зашифрованных файлов, самого тела нет. Как его найти?

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

safety

safety

Опубликовано
Опубликовано
56 минут назад, ALFGreat сказал:

Как узнать под какой учеткой был запущен шифровальщик?

Атаковали скорее всего после взлома данной учетной записи. USR1CV83 (как и во всех предыдущих случаях с данным типом шифровальщика.)

ALFGreat

ALFGreat

Опубликовано
  • Автор
Опубликовано
7 часов назад, safety сказал:

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

 

А можете привести пример команды, при учете что диск С:

 

 

6 часов назад, safety сказал:

Атаковали скорее всего после взлома данной учетной записи. USR1CV83 (как и во всех предыдущих случаях с данным типом шифровальщика.)

 

Так у этого же пользователя практически прав нет....

safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, ALFGreat сказал:

А можете привести пример команды, при учете что диск С:

Примера команды у меня нет, есть только предположение, что в командной строке могут быть указанные ключевые слова.

 

Цитата

Так у этого же пользователя практически прав нет....

судя по предыдущим логам есть, если он даже журналы событий может очищать.

 

16.11.2024 16:07:37.201,Windows Event Log,"Log ""Windows PowerShell"" was cleared by *\USR1CV83."
16.11.2024 16:07:37.138,Windows Event Log,"Log ""System"" was cleared by *\USR1CV83."

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
    • Kazantipok
      Зашифровали файлы с расширением oo4ps и диски Bitlocker
      Автор Kazantipok
      Windows Server 2019 развернут 31.01.25.
       
      До 08:24 16.02.25 все работало. Была установлена синхронизация с Dropbox диска D. После этого по логам начали удаляться все папки и файлы. С утра 17.02.25 сервер 1С не доступен, пароль Админа к серверу по RDP не подходил, сервер перезагружался (не помогло), вручную вкл./выкл. помогло, зашел под другой учеткой с админ. правами, сбросил пароль основной учетки Админ. По итогу на диске С файлы с расширением .oo4ps и два диска D и E запаролены Bitlocker.
      Помогите пожалуйста разблокировать диск E - там хранились бекапы.
      Desktop.rar FRST.txt Addition.txt
    • qwert1
      заблочили диски и файлы зашифровали (bitlocker & ooo4ps)
      Автор qwert1
      День добрый. Прошу помочь разблокировать диски и данные на них  - необходимые фалы приложил, кроме самого шифровальщика (его найти не удалось).
      При подключении к серверу с 1С все диски кроме С заблочены Битлокером, с рабочего столе самозапустился файл FILES_ENCRYPTED с сообщением о взломе.
      exampleOOO4PS.zip Addition.txt FRST.txt FILES_ENCRYPTED.txt
    • Garand
      Зашифровали файли расширением oo4ps и диски Bitlocker
      Автор Garand
      Windows Server 2012 R2
      Спокойно работали 29.11.2024  и в 09:40 перестали быть доступны сетевые файлы и появилась ошибка 1С.
      в текстовом файле указана почта для восстановления:
      Write to email: a38261062@gmail.com
       
      Во вложении текстовый файл и несколько зашифрованных файлов
      FILES_ENCRYPTED.rar Desktop.rar
×
×
  • Создать...