Перейти к содержанию

Добрый день, прошу помочь расшифровать файлы.

lex-xel
 Поделиться

Рекомендуемые сообщения

lex-xel

lex-xel

Опубликовано
Опубликовано

Пк взломали, был установлен антивирус Касперского, и запаролен. Ни какого софта не скачивал и не устанавливал, антивирус не отключал.

Если возможно прошу помочь, заархивировали базу данных в формате rar с паролем и шифрованием. 

ooo4ps.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Ваша задача?

Task: {7DFB2DDE-80D5-48E5-AD24-625B0EB43D51} - System32\Tasks\Backup_LandDB => C:\Users\rnd_root\Documents\BackUp.bat [0 0000-00-00] () [Доступ не разрешён]

Что в этом файле? Можете показать его содержимое?

2024-12-14 20:21 - 2024-12-14 20:21 - 000018772 _____ () C:\Users\USR1CV83\TsAllUsr.Dat

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

А здесь?
 

Цитата

 

Что в этом файле? Можете показать его содержимое?

2024-12-14 20:21 - 2024-12-14 20:21 - 000018772 _____ () C:\Users\USR1CV83\TsAllUsr.Dat

 

+

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, safety сказал:

пробуйте выполнить поиск исполняемых файлов на дисках

результат поиска выполнен на системном диске, на произвольном диске или по логу FRST?

Изменено пользователем safety
lex-xel

lex-xel

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

результат поиска выполнен на системном диске, на произвольном диске или по логу FRST?

Искал на диске c:\ где система, по логу тоже, не нашел.

Но кажется нашел подозрительный файл тут C:\Users\USR1CV83\AppData\Local\Temp\freespace\ посмотрите пожалуйста.

Время его создания совпадает с временем шифрования.

 

BigByte.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Да, этот файл известен, и используется злоумышленниками (теми  кто сейчас шифрует  ooo4ps &bitlocker) для затирания пространства после удаления файлов.

 

Пробуйте поискать просто "openssl.exe" возможно он есть среди удаленных  файлов, но так же может быть затерт.

Возможно, из под этой учетки злоумышленники и запускают свои инструменты и скрипты с шифрованием.

+

проверьте ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Олег Лобанов
      Зашифровались файлы .ooo4ps
      Автор Олег Лобанов
      Здесь зашифрованный файл и письмо с требованиями под паролем
      ooo4ps.rar
      Здесь файлы Addition и FRST без пароля
      FRST.rar
      Адрес вымогателя a38261062@gmail.com
       
      До кучи еще зашифровался диск D битлокером 
    • admmaa
      Шифровальщик ooo4ps.
      Автор admmaa
      Добрый день, зашифрованы файлы внутри системного диска С и диск D зашифрован полностью битлокером. При попытке зайти на диск D просит пароль. Так же мошенники добавили файл-сообщение. Прикрепляю записку с выкупом и архив с примерами шифрованных файлов. Прошу помочь в восстановлении данных.
      FILES_ENCRYPTED.txt totalcmd.rar
    • ivanlit
      Помогите расшифровать BitLocker расширение у всех файлов ooo4ps
      Автор ivanlit
      Добрый день. Помогите, пожалуйста, все файлы и диски зашифрованы BitLocker и имеют расширение ooo4ps
      Есть новый пользователь C:\Users\USR1CV83
      и там есть файл NTUSER.DAT
    • MikeP
      Шифровальщик заразил компьютер
      Автор MikeP
      Добрый день! Шифратор заразил компьютер, скорее всего в выходные 31.01.26, заметили только сегодня. Важные файлы стали формата .ooo4ps. Файрвол виндовс был отключен. Просьба по возможности помочь с дешифровкой. Логи анализа Farbar Recovery Scan Tool,заражённые файлы и сообщение вируса во вложении
      Addition.txt FRST.txt Зараженные файлы.rar
    • qwazz
      поймал шифровальщик ooo4ps
      Автор qwazz
      Добрый день, поймал шифровальщика , файлы с разрешением ooo4ps.   тут выкладывали дешифратор. но я не могу его скачать.
      Сообщение от модератора kmscom Сообщение перенесено из темы поймал шифровальщик ooo4ps
       
×
×
  • Создать...