Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Доброго времени суток, нужна помощь в определении или расшифровке файлов.

В пятницу вечером (070225) на компьютере сотрудника были зашифрованный файлы, предположительно через RDP(!rdp осуществляется через vpn с 2 ключами безопасности).

image.thumb.png.6510229a70dbb115b667b20565b1c18d.png

Так же присутствует readme файл с email для контактов и выкупа. 

Addition.txt FRST.txt encrypt-files.rar

m0D0cQNMb.README.txt

Изменено пользователем talga_mprint
Опубликовано

Здесь покажите что есть в этой папке:

2025-02-07 19:47 - 2024-10-16 08:44 - 000000000 ____D C:\Users\olga\Downloads\win64

 

Систему сканировали уже антивирусными утилитами: KVRT или Cureit? Добавьте отчеты о сканировании.

Опубликовано (изменено)

Добрый день, в папке win64 лежали установочные файлы платформы 1С:бухгалтерия
По поводу KVRT, сейчас сканируется, компьютер слабый поэтому все еще идет

 

 

 

image.png

Изменено пользователем talga_mprint
Опубликовано

Проверка все еще идет, пострадал один пк и сетевые ресурсы к которым был доступ у этого пользователя

 

Cureit ничего не нашел, поделил файл на 2 части, выкладываю вторю часть, т.к. файл слишком тяжелый для прикрепления

 

 

cureit2.txt

Опубликовано

Можно было полный отчет добавить в архив без пароля. Будет небольшой размер.

Судя по отчету:

There are no infected objects detected

 

Ранее с шифровальщиками уже сталкивались?

 

Опубликовано

Извиняюсь за долгий ответ, нет, до этого не сталкивались. Я так понял исходя из отчета FRST что файлы зашифрованы lockbit и для дешифровки нужен приватный ключ который есть только у мошенников которые нас зашифровали?

Опубликовано (изменено)

Да, все верно.

Шифрование файлов выполнено шифровальщиком Lockbit v3 Black.

Сэмпл шифровальщика создан на основе утекшего в публичный доступ Lockbit V3 Black Builder.

Который при генерации создает сэмпл, шифрующий публичным RSA ключом, и дешифратор с приватным ключом.

Генерация сэмпла происходит на стороне злоумышленников, поэтому и дешифратор с приватным ключом остается у них.

Понятно, что при каждом процессе генерации сэмпла, создается новая, уникальная пара ключей.

Т.е. расшифровка файлов невозможна без дешифратора или приватного ключа.

+

Проверьте ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Bek777
      Автор Bek777
      Здравствуйте! Второй комп у бухгалтера поймал шифровальщик. Антивирус на этом компьютере стоит давно с действующей лицензией. В моменте потухла музыка, Касперски показал найден Троян. Компьютер ребутнулся и файлы на раб.столе зашифрованы. Базы в 1С пустые. Многие программы работают. Во вложении отчет с Касперского. Повторной проверкой KVRT зараза не обнаруена. Есть возможность восстановить? Благодарю.

      отчетKes.rar
    • sva_zar
      Автор sva_zar
      Здравствуйте!
       
      сервер 1С поймал шифровальщик 
      почтовый ящик onlinedecodeallfiles@gmail.com
      Антивируса не было.
      Антивирусные программы не запускали.
       
      files.zip
    • ValeryZ
      Автор ValeryZ
      Добрый день прошу помощи в расшифровке файлов и определении наименования шифровальщика. Приложил копии файлов в архиве зашифрованные и оригиналы (того что есть). Заранее спасибо
      11111.zip
    • Alex_88
      Автор Alex_88
      Добрый день!
      Столкнулись с шифровальщиками, FRST логи и файлы прилагаю, просьба помочь с расшифровкой данных. 
       
      Desktop.rar tuE65Ab7X.README.txt Счет на оплату № УТ-258 от 04.10.2023.pdf.rar
    • lomani
      Автор lomani
      Зашифровал файлы и требует выкуп.
      Вскрыл 2 скрытых диска\раздела. 1 диск для автоматического архивирования и загрузочный раздел, также диск C . (диск С зашифровал не полностью) . до остальных дисков не добрался.
       
      Addition.txt FRST.txt vir.7z
×
×
  • Создать...