Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Добрый день, прошу помочь расшифровать файлы.

lex-xel
 Поделиться

Рекомендуемые сообщения

lex-xel Новичок

lex-xel

Опубликовано
Опубликовано

Пк взломали, был установлен антивирус Касперского, и запаролен. Ни какого софта не скачивал и не устанавливал, антивирус не отключал.

Если возможно прошу помочь, заархивировали базу данных в формате rar с паролем и шифрованием. 

ooo4ps.7zПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Ваша задача?

Task: {7DFB2DDE-80D5-48E5-AD24-625B0EB43D51} - System32\Tasks\Backup_LandDB => C:\Users\rnd_root\Documents\BackUp.bat [0 0000-00-00] () [Доступ не разрешён]

Что в этом файле? Можете показать его содержимое?

2024-12-14 20:21 - 2024-12-14 20:21 - 000018772 _____ () C:\Users\USR1CV83\TsAllUsr.Dat

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

А здесь?
 

  Цитата

 

Что в этом файле? Можете показать его содержимое?

2024-12-14 20:21 - 2024-12-14 20:21 - 000018772 _____ () C:\Users\USR1CV83\TsAllUsr.Dat

 

Показать  

+

пробуйте выполнить поиск исполняемых файлов на дисках среди скриптов (bat, vbs, cmd, ps1 и др.) и по подстроке в файлах:

openssl.exe enc

-salt

aes-256-cbc -salt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
  В 22.12.2024 в 09:48, safety сказал:

пробуйте выполнить поиск исполняемых файлов на дисках

Показать  

результат поиска выполнен на системном диске, на произвольном диске или по логу FRST?

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
lex-xel Новичок

lex-xel

Опубликовано
  • Автор
Опубликовано
  В 22.12.2024 в 11:19, safety сказал:

результат поиска выполнен на системном диске, на произвольном диске или по логу FRST?

Показать  

Искал на диске c:\ где система, по логу тоже, не нашел.

Но кажется нашел подозрительный файл тут C:\Users\USR1CV83\AppData\Local\Temp\freespace\ посмотрите пожалуйста.

Время его создания совпадает с временем шифрования.

 

BigByte.7zПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Да, этот файл известен, и используется злоумышленниками (теми  кто сейчас шифрует  ooo4ps &bitlocker) для затирания пространства после удаления файлов.

 

Пробуйте поискать просто "openssl.exe" возможно он есть среди удаленных  файлов, но так же может быть затерт.

Возможно, из под этой учетки злоумышленники и запускают свои инструменты и скрипты с шифрованием.

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...