Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте!Попал и я файлы в расширении ooo4ps,диски кроме системного заблокированы bitlocker.Как я понимаю,взломали меня через учётку usr1cv8.Первые фалы по времени нашёл там в temp.Нашел там 4 испольняемых файла,сохранил их себе,с сервера удалил.Вложил файлы которые обычно просят в других ветках на эту же тему.Буду благодарен любой помощи

file.rar report_2025.01.17_20.22.04.klr.rar

Опубликовано
8 часов назад, denisk2107 сказал:

Первые фалы по времени нашёл там в temp.Нашел там 4 испольняемых файла,сохранил их себе

Добавьте эти файлы в одном архиве с паролем virus по ссылке на облачный диск. Посмотрим что там есть.

Опубликовано (изменено)
18.01.2025 в 16:56, denisk2107 сказал:

ссылка удалена

Инфо очень полезное, но остались пока еще вопросы

Изменено пользователем safety
Опубликовано

Рад что информация полезна.Возможно мне или ещё кому то поможет.Включил сканирование,скоро скину отчёт 

 

Logs.rar

Опубликовано
14 минут назад, denisk2107 сказал:

Рад что информация полезна

Да, KVRT ничего не нашел, Систему не перегружали после шифрования ooo4ps?

Опубликовано

Перезагружал.Система была выключена на пару дней,далее включена и начата проверка и поиск.

Опубликовано (изменено)

Уточните момент времени, который вы сопоставили с найденными скриптами. Жаль немного что они были удалены, и не попали в отчет FRST

по логу FRST это соответствует первой записи, когда появилась записка о выкупе

2025-01-15 03:24 - 2024-08-22 13:25 - 000000940 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • niktnt
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
    • sss28.05.2025
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
    • Alkart1975
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
    • juzvel
      Автор juzvel
      Добрый день. Зашифровались BitLocker'ом разделы, кроме системного. Диск смонтированный как папка не тронут(Это на другом ПК, с того хожу на этот по рдп). РДП открыт на нестандартном порту. Так же был изменен пароль пользователя, с этим разобрался. Шифрованых файлов на системном диске не обнаружил
      FRST.txtAddition.txtPLEASE READ.txt 
    • Александр Черенов
      Автор Александр Черенов
      Добрый день. Прошу помощи. Ночью зашифровали все диски на 2-х серверах. Все диски кроме системных. Bitlocker. Ну и естественно оставили файл с требованием оплатить деньги на криптокошелек.( почта bitlockerlock.unlock@gmail.com и davidblaine@mail2world.com)
      На серверах было все - базы, бекапы, документы и т.д. Очень прошу помочь. Оплатим работы.
      Мой номер +7919893**** (ватсап, телега, звонки)
×
×
  • Создать...