Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Взломали.Расширение ooo4ps.Диски заблокированы bitlocker

denisk2107
 Поделиться

Рекомендуемые сообщения

denisk2107

denisk2107

Опубликовано
Опубликовано

Здравствуйте!Попал и я файлы в расширении ooo4ps,диски кроме системного заблокированы bitlocker.Как я понимаю,взломали меня через учётку usr1cv8.Первые фалы по времени нашёл там в temp.Нашел там 4 испольняемых файла,сохранил их себе,с сервера удалил.Вложил файлы которые обычно просят в других ветках на эту же тему.Буду благодарен любой помощи

file.rar report_2025.01.17_20.22.04.klr.rar

safety

safety

Опубликовано
Опубликовано
8 часов назад, denisk2107 сказал:

Первые фалы по времени нашёл там в temp.Нашел там 4 испольняемых файла,сохранил их себе

Добавьте эти файлы в одном архиве с паролем virus по ссылке на облачный диск. Посмотрим что там есть.

safety

safety

Опубликовано
Опубликовано (изменено)
18.01.2025 в 16:56, denisk2107 сказал:

ссылка удалена

Инфо очень полезное, но остались пока еще вопросы

Изменено пользователем safety
denisk2107

denisk2107

Опубликовано
  • Автор
Опубликовано

Рад что информация полезна.Возможно мне или ещё кому то поможет.Включил сканирование,скоро скину отчёт 

 

Logs.rar

safety

safety

Опубликовано
Опубликовано
14 минут назад, denisk2107 сказал:

Рад что информация полезна

Да, KVRT ничего не нашел, Систему не перегружали после шифрования ooo4ps?

denisk2107

denisk2107

Опубликовано
  • Автор
Опубликовано

Перезагружал.Система была выключена на пару дней,далее включена и начата проверка и поиск.

safety

safety

Опубликовано
Опубликовано (изменено)

Уточните момент времени, который вы сопоставили с найденными скриптами. Жаль немного что они были удалены, и не попали в отчет FRST

по логу FRST это соответствует первой записи, когда появилась записка о выкупе

2025-01-15 03:24 - 2024-08-22 13:25 - 000000940 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр Олейников
      Зашифровали диски кроме основного
      Автор Александр Олейников
      Добрый день. Утром получил сообщение на рабочем столе
      To recover your data, contact us: rdata@onionmail.org
      Use only Google mail to contact us!
      The lowest price is valid only on the first day.
      Все разделы кроме С стали RAW
    • bagr
      Зашифровались диски кроме системного
      Автор bagr
      На удаленном рабочем сервере зашифровались данные и диски, зашифрованные файлы достать не удалось. После шифрования все файлы получили доп расширение .rdata а диски кроме основного на котором стоит ОС зашифрованы BitLocker
      В корне каждого пользователя лежат файлы NTUSER.DAT и несколько похожих файлов скриншот прилагаю в архиве так как не удалось данные файлы заархивировать.
      В каждом каталоге Readme.txt с сообщением злоумышленника
       
      Просканил FRST. Логи вместе с файлом readme.txt прилагаю в архиве

      FRST.rar
    • Вадим161
      поймали rdata, диски в RAW
      Автор Вадим161
      Добрый день! Злоумышленники попали на сервер, зашифровали часть файлов добавив .rdata.
      Диски в RAW.
      KES 12.11 версии вроде стоял, удален.
      Сообщение оставили с таким содержанием: 
      To recover your data, contact us: rdata@onionmail.org
      Use only Google mail to contact us!
      The lowest price is valid only on the first day.
      Что предпринять? Пробовал восстановить том с помощью AOMEI Partition Assistant Server - без успешно.
      Во пример шифрованного файла и сообщение.
      Downloads.zip
      FRST.txt
    • NikLev
      Шифровальщик .rdata
      Автор NikLev
      Столкнулись с проблемой шифрования файлов на удаленном рабочем сервере. После шифрования все файлы получили доп расширение .rdata а диски кроме основного на котором стоит ОС зашифрованы BitLocker. В корне каждого пользователя лежит файл NTUSER.DAT.
       
      В каждом каталоге README.TXT с сообщением злоумышленника 
      To recover your data, contact us: rdata@onionmail.org
      The lowest price is valid only on the first day.
       
      Просканил FRST. Логи прилагаю в архиве
       
      Логи FRST.rar
    • Zsv89
      Зашифровали diskcryptor
      Автор Zsv89
      неДобрый день. Поймали непонятным образом вирус,который зашифровал через diskcryptor.
       
      To recover your data, contact us: rdata@onionmail.org
      The lowest price is valid only on the first day.
       
      расширение .rdata

       
       
×
×
  • Создать...