Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Шифровальщик BitLocker зашифровал все диски и файлы.

ALFGreat
 Поделиться

Рекомендуемые сообщения

ALFGreat Новичок

ALFGreat

Опубликовано
Опубликовано

Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 

Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Добавьте все необходимые файлы и логи согласно правилам

(несколько зашифрованных файлов, записку о выкупе с оригинальным именем, логи FRST (Frst.txt, Addition.txt)

«Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
ALFGreat Новичок

ALFGreat

Опубликовано
  • Автор
Опубликовано
28 минут назад, safety сказал:

Добавьте все необходимые файлы и логи согласно правилам

(несколько зашифрованных файлов, записку о выкупе с оригинальным именем, логи FRST (Frst.txt, Addition.txt)

«Порядок оформления запроса о помощи».

 

Тело шифровальщика пока не нашел, сервер не трогал вообще, дабы не стереть следы. В архив вирус - несколько зашифрованных файлов, самого тела нет. Как его найти?

Addition.txt FILES_ENCRYPTED.txt FRST.txt Virus.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
13 минут назад, ALFGreat сказал:

В архив вирус - несколько зашифрованных файлов, самого тела нет. Как его найти?

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
56 минут назад, ALFGreat сказал:

Как узнать под какой учеткой был запущен шифровальщик?

Атаковали скорее всего после взлома данной учетной записи. USR1CV83 (как и во всех предыдущих случаях с данным типом шифровальщика.)

Ссылка на комментарий
Поделиться на другие сайты
ALFGreat Новичок

ALFGreat

Опубликовано
  • Автор
Опубликовано
7 часов назад, safety сказал:

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

 

А можете привести пример команды, при учете что диск С:

 

 

6 часов назад, safety сказал:

Атаковали скорее всего после взлома данной учетной записи. USR1CV83 (как и во всех предыдущих случаях с данным типом шифровальщика.)

 

Так у этого же пользователя практически прав нет....

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
1 час назад, ALFGreat сказал:

А можете привести пример команды, при учете что диск С:

Примера команды у меня нет, есть только предположение, что в командной строке могут быть указанные ключевые слова.

 

Цитата

Так у этого же пользователя практически прав нет....

судя по предыдущим логам есть, если он даже журналы событий может очищать.

 

16.11.2024 16:07:37.201,Windows Event Log,"Log ""Windows PowerShell"" was cleared by *\USR1CV83."
16.11.2024 16:07:37.138,Windows Event Log,"Log ""System"" was cleared by *\USR1CV83."

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
    • Александр Черенов
      Зашифрованы диски на серверах BitLocker, все кроме системных. Помогите пожалуйста
      Автор Александр Черенов
      Добрый день. Прошу помощи. Ночью зашифровали все диски на 2-х серверах. Все диски кроме системных. Bitlocker. Ну и естественно оставили файл с требованием оплатить деньги на криптокошелек.( почта bitlockerlock.unlock@gmail.com и davidblaine@mail2world.com)
      На серверах было все - базы, бекапы, документы и т.д. Очень прошу помочь. Оплатим работы.
      Мой номер +7919893**** (ватсап, телега, звонки)
    • Александр КС
      Зашифровались файлы на компе и на сетевом диске.
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
    • qwert1
      заблочили диски и файлы зашифровали (bitlocker & ooo4ps)
      Автор qwert1
      День добрый. Прошу помочь разблокировать диски и данные на них  - необходимые фалы приложил, кроме самого шифровальщика (его найти не удалось).
      При подключении к серверу с 1С все диски кроме С заблочены Битлокером, с рабочего столе самозапустился файл FILES_ENCRYPTED с сообщением о взломе.
      exampleOOO4PS.zip Addition.txt FRST.txt FILES_ENCRYPTED.txt
    • Kazantipok
      Зашифровали файлы с расширением oo4ps и диски Bitlocker
      Автор Kazantipok
      Windows Server 2019 развернут 31.01.25.
       
      До 08:24 16.02.25 все работало. Была установлена синхронизация с Dropbox диска D. После этого по логам начали удаляться все папки и файлы. С утра 17.02.25 сервер 1С не доступен, пароль Админа к серверу по RDP не подходил, сервер перезагружался (не помогло), вручную вкл./выкл. помогло, зашел под другой учеткой с админ. правами, сбросил пароль основной учетки Админ. По итогу на диске С файлы с расширением .oo4ps и два диска D и E запаролены Bitlocker.
      Помогите пожалуйста разблокировать диск E - там хранились бекапы.
      Desktop.rar FRST.txt Addition.txt
×
×
  • Создать...