Перейти к содержанию

Добрый день, прошу помочь расшифровать файлы.

lex-xel
 Share

Рекомендуемые сообщения

lex-xel Новичок

lex-xel

Опубликовано
Опубликовано

Пк взломали, был установлен антивирус Касперского, и запаролен. Ни какого софта не скачивал и не устанавливал, антивирус не отключал.

Если возможно прошу помочь, заархивировали базу данных в формате rar с паролем и шифрованием. 

ooo4ps.7z

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Ваша задача?

Task: {7DFB2DDE-80D5-48E5-AD24-625B0EB43D51} - System32\Tasks\Backup_LandDB => C:\Users\rnd_root\Documents\BackUp.bat [0 0000-00-00] () [Доступ не разрешён]

Что в этом файле? Можете показать его содержимое?

2024-12-14 20:21 - 2024-12-14 20:21 - 000018772 _____ () C:\Users\USR1CV83\TsAllUsr.Dat

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

А здесь?
 

Цитата

 

Что в этом файле? Можете показать его содержимое?

2024-12-14 20:21 - 2024-12-14 20:21 - 000018772 _____ () C:\Users\USR1CV83\TsAllUsr.Dat

 

+

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
1 час назад, safety сказал:

пробуйте выполнить поиск исполняемых файлов на дисках

результат поиска выполнен на системном диске, на произвольном диске или по логу FRST?

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
lex-xel Новичок

lex-xel

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

результат поиска выполнен на системном диске, на произвольном диске или по логу FRST?

Искал на диске c:\ где система, по логу тоже, не нашел.

Но кажется нашел подозрительный файл тут C:\Users\USR1CV83\AppData\Local\Temp\freespace\ посмотрите пожалуйста.

Время его создания совпадает с временем шифрования.

 

BigByte.7z

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Да, этот файл известен, и используется злоумышленниками (теми  кто сейчас шифрует  ooo4ps &bitlocker) для затирания пространства после удаления файлов.

 

Пробуйте поискать просто "openssl.exe" возможно он есть среди удаленных  файлов, но так же может быть затерт.

Возможно, из под этой учетки злоумышленники и запускают свои инструменты и скрипты с шифрованием.

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Анонимка
      Прошу помочь, уже не знаю, что делать с этим вирусом.
      От Анонимка
      Предыстории не помню, но сейчас наблюдаю на всех своих устройствах : 
      1) Фиктивные сетевые адаптеры
      2) Непонятные порты и службы
      3) Тормоза компьютера - хотя они не особо заметны
      4) Предустановленные драйверы, которые нельзя удалить
      5) Какие-то левые сертификаты 2010 года, которые определяются, как валидные
      6) Переустановка винды не помогает - такое ощущение, что где-то в недрах диска или биоса зашито это. Либо стоит какое-либо устройство. 
      7) Это проявляется на стационарном ПК , ноутбуке, возможно андроид мобильнике.
       
       
      Чтобы я ни делал, везде проскакивают странности. 
      Очень неприятна мысль, что все твои действия могут контролировать, еще хуже, если могут ими воспользоваться. В этом мои опасения.
       
      Я собрал некие подозрительные файлы с папки windows - они на диске - 
      https://drive.google.com/file/d/17QJoI863YzvNPeo_WTdW5MmcLu729Bg2/view?usp=sharing
      https://drive.google.com/file/d/1d4szAEudnYbfS9hlKQOvQHtCQM6wTLmj/view?usp=sharing
      https://drive.google.com/file/d/1ioGd1yf_pYjWv3bhf368gtmcq7EaxQj_/view?usp=sharing
      https://drive.google.com/file/d/1smFWpaWPqEtEND023e6lBkTmq4uZ-_fd/view?usp=sharing
      Можете помочь ?
        
    • besdelnick
      Добрый день. Поймали шифровальщика по RDP. Помогите пожалуйста
      От besdelnick
      MS_AgentSigningCertificate.cer.rar
    • vasili_rb
      Прошу помощи
      От vasili_rb
      Добрый день.
      Очень нужна помощь. Хватанул какого то трояна скорее всего.
      Не запускаются виртуальные машины в Hyper-V, перестали работать обновления 
      SRVMAIN_2025-02-12_11-59-20_v4.99.8v x64.7z
       
      HyperV восcтановил путем удаления роли и установкой по новому.
    • Alex2088
      помогите расшифровать файлы
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • Rena73
      Пытаюсь расшифровать шифровальщика.
      От Rena73
      Пытаюсь расшифровать файлы. не получается. ZXyL8wFFae.rar
×
×
  • Создать...