Перейти к содержанию

Добрый день, прошу помочь расшифровать файлы.

lex-xel
 Поделиться

Рекомендуемые сообщения

lex-xel

lex-xel

Опубликовано
Опубликовано

Пк взломали, был установлен антивирус Касперского, и запаролен. Ни какого софта не скачивал и не устанавливал, антивирус не отключал.

Если возможно прошу помочь, заархивировали базу данных в формате rar с паролем и шифрованием. 

ooo4ps.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Ваша задача?

Task: {7DFB2DDE-80D5-48E5-AD24-625B0EB43D51} - System32\Tasks\Backup_LandDB => C:\Users\rnd_root\Documents\BackUp.bat [0 0000-00-00] () [Доступ не разрешён]

Что в этом файле? Можете показать его содержимое?

2024-12-14 20:21 - 2024-12-14 20:21 - 000018772 _____ () C:\Users\USR1CV83\TsAllUsr.Dat

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

А здесь?
 

Цитата

 

Что в этом файле? Можете показать его содержимое?

2024-12-14 20:21 - 2024-12-14 20:21 - 000018772 _____ () C:\Users\USR1CV83\TsAllUsr.Dat

 

+

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, safety сказал:

пробуйте выполнить поиск исполняемых файлов на дисках

результат поиска выполнен на системном диске, на произвольном диске или по логу FRST?

Изменено пользователем safety
lex-xel

lex-xel

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

результат поиска выполнен на системном диске, на произвольном диске или по логу FRST?

Искал на диске c:\ где система, по логу тоже, не нашел.

Но кажется нашел подозрительный файл тут C:\Users\USR1CV83\AppData\Local\Temp\freespace\ посмотрите пожалуйста.

Время его создания совпадает с временем шифрования.

 

BigByte.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Да, этот файл известен, и используется злоумышленниками (теми  кто сейчас шифрует  ooo4ps &bitlocker) для затирания пространства после удаления файлов.

 

Пробуйте поискать просто "openssl.exe" возможно он есть среди удаленных  файлов, но так же может быть затерт.

Возможно, из под этой учетки злоумышленники и запускают свои инструменты и скрипты с шифрованием.

+

проверьте ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Pospelovdima
      ooo4ps a38261062@gmail.com
      Автор Pospelovdima
      Подхватил заразу a38261062@gmail.com ooo4ps  может есть у кого решение ?
    • Dorark
      Вирус зашифровал базы 1с, sql добавил раcширение rag2hdst
      Автор Dorark
      Здравствуйте!
      Такая же проблема. 26.04.2020 г. на сервере обнаружили, что подцепили вирус вымогатель. Перестал работать 1с, SQL. На файлах резервных копий sql и еще на некоторых файлах появилось расширение .rag2hdst . В каждой папке появился файл DECRIPT_FILES.TXT. Прилагаю логи FRST, DECRIPT_FILES.TXT и зашифрованный файл. 
      Addition.txt cache.1CD.rag2hdst DECRIPT_FILES.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.  
    • rokhaund
      Шифровальщик зашифровал базы данных
      Автор rokhaund
      Здравствуйте! Вчера на сервере с базами 1С, dr.web нашел и убил вирус. После чего обнаружил что все базы 1с зашифрованы и имеют расширение rag2hdst. В каждой папке лежит файлик DECRIPT_FILES.txt В котором естественно просят денег. Зашифрованный файл прикрепил к сообщению. Так же файлик с логами...
      Подскажите пожалуйста, реально ли расшифровать файлы?
      Спасибо...
    • DruzhyninS
      [РЕШЕНО] Вирус Шифровщик
      Автор DruzhyninS
      Шифровщик Стартонул и ломанул все - бэкапы были акроним зашифрованном разделе  - и те удалило !
      Помогите восстановить хоть один файл бекапа системы!
       
       
      Decrypting your files is easy. Take a deep breath and follow the steps below. 
       
      1 ) Make the proper payment.  Payments are made in Monero. This is a crypto-currency, like bitcoin. You can buy Monero, and send it, from the same places you can any other crypto-currency. If you're still unsure, google 'monero exchange'.    Sign up at one of these exchange sites and send the payment to the address below.   Payment Address (Monero Wallet):    87ZAuEY2UbsaW8u4juM6J7Pr74HAQLeESHycWNzT9nhML4MkqHaLy9fQMGKQRCzKiJS7e6h8BDSaHHsiJd9hLtHRKVhpKgi   2 ) Farther you should send your ip address to email address name4v@keemail.me Then you will receive all necessary key.    Prices : Days : Monero : Offer Expires  0-2 : 600$ :  13/01/2020  3-6 : 1000$ : 17/01/2020   Note: In 7 days your password decryption key gets permanently deleted.  You then have no way to ever retrieve your files. So pay now. Addition.txt
      FRST.txt
      DECRIPT_FILES.txt
    • Okay
      Salted2020 и USR1CV83
      Автор Okay
      Зашифровали сервер 1С на базе Windows Server 2019 Standard, все обновления стоят.
      Доступа по RDP нет, сервер 1С открытыми портами в интернет не светит.
      Почитав аналогичные темы, понял, что взломали через пользователя USR1CV83 (хотя в системе ему было задано другое имя).
      Примерное время взлома: 08.06.25 03:00 МСК. После шифрования все следы шифровальщика были удалены, системные журналы очищены, сервер выключен.
      Поиск по временным папкам ничего не дал. Elcomsoft Forensic Disk Decryptor тоже не помог.
      На восстановление файлов не надеюсь, восстановим из имеющихся резервных копий.
      Вопрос в том, каков именно механизм взлома и как защититься от подобного в будущем?
      Пользователь USR1CV83 был назван по-другому, пароль задан сложный, админские права ему нужны для корректной работы.
       
      FRST.txt Addition.txt FILES_ENCRYPTED.zip
×
×
  • Создать...