Перейти к содержанию

Произошла зашифровка БД Hardbit 4.2

iluha_r
 Поделиться

Рекомендуемые сообщения

iluha_r

iluha_r

Опубликовано
Опубликовано

Прошу помочь с шифровальщиком вымогателем hardbit 4.2

В выходные поймали и он зашифровал базы данных на серверах и резервные копии.

 

Высылаю файл с сервера 1с для анализа

Можно проанализировать возможность расшифровки?

Addition.txt FRST.txt KSOS report.txt пример зашифрованных файлов.zip

safety

safety

Опубликовано
Опубликовано

Этот файл можете предоставить в архиве, с паролем virus?

Цитата

Вчера, 04.02.2025 16:48:46    C:\Users\$BarTender_Security$\Downloads\F0Bndjm6.exe    F0Bndjm6.exe    C:\Users\$BarTender_Security$\Downloads    Файл    Обнаружено    Обнаружен вредоносный объект    Обнаружено    HEUR:Trojan-Ransom.Win32.Generic    Троянское приложение    Высокая    Частично    Microsoft Compatibility Telemetry    CompatTelRunner.exe    C:\Windows\System32\CompatTelRunner.exe    C:\Windows\System32    8788    NT AUTHORITY\СИСТЕМА    Системный пользователь    Экспертный анализ

 

iluha_r

iluha_r

Опубликовано
  • Автор
Опубликовано

А как его лучше всего поймать? Подскажите рекомендации?

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

Подскажите рекомендации?

Он возможно уже в карантине KSOS (т.е. пойман), проверьте в карантине. Из карантина антивируса можете достать сэмпл?

Изменено пользователем safety
iluha_r

iluha_r

Опубликовано
  • Автор
Опубликовано

Пытаемся достать из одного из инфицированных серверов. Нужно 1-2 дня, не закрывайте тему пожалуйста

safety

safety

Опубликовано
Опубликовано (изменено)

Да, ждем. Чем быстрее мы все делаем, тем больше шансы на восстановление данных.

Изменено пользователем safety
iluha_r

iluha_r

Опубликовано
  • Автор
Опубликовано

Доброго вечера.

 

Вот образец вредоносов, вирус и 3 файла к нему. Выловлены из папки

 

К  нему прикладываю 2 образца с яндекс диска - шифрованная картинка и исходник, сохранились благодаря яндекс диску подключенному и его рез.копии, причем засинхроненный яндекс диск естественно тоже зашифрованный файл проглотил, просто у него есть рез.копии. Возможно это поможет в понимании и расшифровке.

KVRTQ0000.7z инфицированная и целая картинка(рез.копии_яндекс_диск).zip

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ITK
      HardBit 4.2
      Автор ITK
      Доброго дня!
      Столкнулись с плохими парнями, причем в процессе шифрования. Перетягивали сеансы на серверах. Часть данных успели спасти. От этих ребят успели поиметь саму утиль шифровальную и файлик private.txt  с ключиком.
      Помогите с дальнейшими действиями.
    • mallorik9
      здраствуйте не могу убрать ошибку в событиях Произошла ошибка DCOM "1068 и Служба "Системное приложение COM+" является зависимой от службы
      Автор mallorik9
      Здраствуйте не могу убрать ошибку в событиях заметил сегодня ПК начал тормозить долго грузится когда включаю в Просмотре событий ошибки 2 есть это так должно бить я не пойму помогите пожалуйста уже более 17к событий как это по исправлять 


    • duduka
      Произошла шифровка файлов cock.li
      Автор duduka
      вечером, как оказывается взломали рдп (подобрали пароль) в 20:40
      утром естественно появились текстовые документы с текстом:
       

      и  файлы стали в таком виде.
      файл_нейм.id-B297FBFD.[cheese47@cock.li].ROGER
       
      так же был обнаружен файл payload.exe
       
      есть возможность расшифровать?

      report1.log report2.log
×
×
  • Создать...