Перейти к содержанию

Добрый день, прошу помочь расшифровать файлы.

lex-xel
 Поделиться

Рекомендуемые сообщения

lex-xel

lex-xel

Опубликовано
Опубликовано

Пк взломали, был установлен антивирус Касперского, и запаролен. Ни какого софта не скачивал и не устанавливал, антивирус не отключал.

Если возможно прошу помочь, заархивировали базу данных в формате rar с паролем и шифрованием. 

ooo4ps.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Ваша задача?

Task: {7DFB2DDE-80D5-48E5-AD24-625B0EB43D51} - System32\Tasks\Backup_LandDB => C:\Users\rnd_root\Documents\BackUp.bat [0 0000-00-00] () [Доступ не разрешён]

Что в этом файле? Можете показать его содержимое?

2024-12-14 20:21 - 2024-12-14 20:21 - 000018772 _____ () C:\Users\USR1CV83\TsAllUsr.Dat

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

А здесь?
 

Цитата

 

Что в этом файле? Можете показать его содержимое?

2024-12-14 20:21 - 2024-12-14 20:21 - 000018772 _____ () C:\Users\USR1CV83\TsAllUsr.Dat

 

+

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, safety сказал:

пробуйте выполнить поиск исполняемых файлов на дисках

результат поиска выполнен на системном диске, на произвольном диске или по логу FRST?

Изменено пользователем safety
lex-xel

lex-xel

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

результат поиска выполнен на системном диске, на произвольном диске или по логу FRST?

Искал на диске c:\ где система, по логу тоже, не нашел.

Но кажется нашел подозрительный файл тут C:\Users\USR1CV83\AppData\Local\Temp\freespace\ посмотрите пожалуйста.

Время его создания совпадает с временем шифрования.

 

BigByte.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Да, этот файл известен, и используется злоумышленниками (теми  кто сейчас шифрует  ooo4ps &bitlocker) для затирания пространства после удаления файлов.

 

Пробуйте поискать просто "openssl.exe" возможно он есть среди удаленных  файлов, но так же может быть затерт.

Возможно, из под этой учетки злоумышленники и запускают свои инструменты и скрипты с шифрованием.

+

проверьте ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ivan_S
      Шифровальщик .ooo4ps
      Автор Ivan_S
      Добрый день. Пойммали вирус-шифровальщик на сервер. выяснили что все действия проводились через пользователя под которым крутилась 1с, однако была создана его копия, в которой хранится файл DiskCryptor. Ниже прикрепляю файл логов, а так же пара зашифрованных файлов вместе с архивом вируса

       
      Files.rar FRST.txt virus.rar
    • aryanatha
      Заразились шифровальщиком
      Автор aryanatha
      Здравствуйте
      Сервер под управлением Windows Server 2012 R2
      Заходили на него используя RDP
      2 диска зашифровались BitLockerом
      Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
      В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
      Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
      в приложении логи анализа и да зашифрованный файла Эксель.
      файл с вирусом не нашли. требований денег не нашли
      возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 
      и после этого с дестопа по RDP ходил на сервер
      прошу помощи
    • pizzador
      Помощь в борьбе с шифровальщиками-вымогателями
      Автор pizzador
      Доброго времени суток. В компании работаю не давно,сервер находится на удаленке.Был доступ по РДП . Микротика не было.Заказал,но не успел прийти.По итогу после многочисленных атак ,в сервер проник шифровальщик и все закрыл.Бекапы делались на другие диски.Они заблокированы битлокером . Расшерение .le0
      Addition.txt FRST.txt Shortcut.txt Ильинский до корректировок осв.xlsx.zip
    • eNCwaer
      Зашифрованы файлы Salted
      Автор eNCwaer
      Добрый день! Сегодня утром поймали шифровальщик.
      В наименования файлов добавилось .le0
      Так же всплывает текстовый документ со следующим содержимым:
      "All your data has been locked us
      You want to return?
      Write email adk0@keemail.me"

      Файлы в архиве
      Пароль 123
      Files.rar
    • Дмитрий Миняев
      Зашифрованы файлы
      Автор Дмитрий Миняев
      Добрый день.
      Зашифровались данные на сервере. На сервере был установлен Small Buziness security, он не зашифровался.
      Данные по серверу, файл txt и примеры зашифрованных файлов прилагаю.
      Addition.txt FRST.txt FILES_ENCRYPTED.txt server.rar
×
×
  • Создать...