Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Доброго времени суток, нужна помощь в определении или расшифровке файлов.

В пятницу вечером (070225) на компьютере сотрудника были зашифрованный файлы, предположительно через RDP(!rdp осуществляется через vpn с 2 ключами безопасности).

image.thumb.png.6510229a70dbb115b667b20565b1c18d.png

Так же присутствует readme файл с email для контактов и выкупа. 

Addition.txt FRST.txt encrypt-files.rar

m0D0cQNMb.README.txt

Изменено пользователем talga_mprint
Опубликовано

Здесь покажите что есть в этой папке:

2025-02-07 19:47 - 2024-10-16 08:44 - 000000000 ____D C:\Users\olga\Downloads\win64

 

Систему сканировали уже антивирусными утилитами: KVRT или Cureit? Добавьте отчеты о сканировании.

Опубликовано (изменено)

Добрый день, в папке win64 лежали установочные файлы платформы 1С:бухгалтерия
По поводу KVRT, сейчас сканируется, компьютер слабый поэтому все еще идет

 

 

 

image.png

Изменено пользователем talga_mprint
Опубликовано

Проверка все еще идет, пострадал один пк и сетевые ресурсы к которым был доступ у этого пользователя

 

Cureit ничего не нашел, поделил файл на 2 части, выкладываю вторю часть, т.к. файл слишком тяжелый для прикрепления

 

 

cureit2.txt

Опубликовано

Можно было полный отчет добавить в архив без пароля. Будет небольшой размер.

Судя по отчету:

There are no infected objects detected

 

Ранее с шифровальщиками уже сталкивались?

 

Опубликовано

Извиняюсь за долгий ответ, нет, до этого не сталкивались. Я так понял исходя из отчета FRST что файлы зашифрованы lockbit и для дешифровки нужен приватный ключ который есть только у мошенников которые нас зашифровали?

Опубликовано (изменено)

Да, все верно.

Шифрование файлов выполнено шифровальщиком Lockbit v3 Black.

Сэмпл шифровальщика создан на основе утекшего в публичный доступ Lockbit V3 Black Builder.

Который при генерации создает сэмпл, шифрующий публичным RSA ключом, и дешифратор с приватным ключом.

Генерация сэмпла происходит на стороне злоумышленников, поэтому и дешифратор с приватным ключом остается у них.

Понятно, что при каждом процессе генерации сэмпла, создается новая, уникальная пара ключей.

Т.е. расшифровка файлов невозможна без дешифратора или приватного ключа.

+

Проверьте ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • astraoren
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Evgeniy Alekseevich
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • SatanicPanzer
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
×
×
  • Создать...