Перейти к содержанию

Зашифровали файлы с расширением oo4ps и диски Bitlocker

Kazantipok
 Поделиться

Рекомендуемые сообщения

Kazantipok

Kazantipok

Опубликовано
Опубликовано (изменено)

Windows Server 2019 развернут 31.01.25.

 

До 08:24 16.02.25 все работало. Была установлена синхронизация с Dropbox диска D. После этого по логам начали удаляться все папки и файлы. С утра 17.02.25 сервер 1С не доступен, пароль Админа к серверу по RDP не подходил, сервер перезагружался (не помогло), вручную вкл./выкл. помогло, зашел под другой учеткой с админ. правами, сбросил пароль основной учетки Админ. По итогу на диске С файлы с расширением .oo4ps и два диска D и E запаролены Bitlocker.

Помогите пожалуйста разблокировать диск E - там хранились бекапы.

Desktop.rar FRST.txt Addition.txt

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

В TEMP этого пользователя USR1CV83 выполните поиск исполняемых файлов (exe, bat, cmd), созданных в интервале

с 2025-02-16 08:08 по 2025-02-16 08:37

Kazantipok

Kazantipok

Опубликовано
  • Автор
Опубликовано

По поиску исполняемых файлов (exe, bat, cmd) не обнаружено. Только документы и в основном .txt файлы (FILES_ENCRYPTED.txt)

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно эти файлы есть среди удаленных.

Пробуйте еще выполнить поиск этих же файлов среди удаленных файлов. через r-studio, r.safer, getdataback.

Изменено пользователем safety
Kazantipok

Kazantipok

Опубликовано
  • Автор
Опубликовано

Просканировал все - исполняемых файлов также не нашел. В удаленных тоже не нашел, но были 2 экзешника, но другой датой (см. скрины). Искал и r-studio и r.saver

Screenshot_1.png

Screenshot_2.png

safety

safety

Опубликовано
Опубликовано (изменено)

Нет, так нет.

Шифрование ooo4ps идет симметричным ключем AES, восстановить ключ каким=то образом после перезагрузки системы проблемно.

По паролям к зашифрованным дискам Bitlocker можно обратиться к специализированным инструментам.

Например, Elcomsoft Forendic Disk Decryptor. Может что-то и получится: либо извлечь ключи из дампа памяти, либо извлечь метаданные из зашифрованного диска и пытаться брутить пароль.

Либо обратиться в специализированную компанию.

Изменено пользователем safety
  • Спасибо (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)
41 минуту назад, Korwin312 сказал:

Ситуация такая же.

Создайте отдельную тему в данном разделе, выложите все необходимые файлы, согласно правилам. 

«Порядок оформления запроса о помощи».

Не пишите в чужой теме.

Изменено пользователем safety
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Pospelovdima
      ooo4ps a38261062@gmail.com
      Автор Pospelovdima
      Подхватил заразу a38261062@gmail.com ooo4ps  может есть у кого решение ?
    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • Dorark
      Вирус зашифровал базы 1с, sql добавил раcширение rag2hdst
      Автор Dorark
      Здравствуйте!
      Такая же проблема. 26.04.2020 г. на сервере обнаружили, что подцепили вирус вымогатель. Перестал работать 1с, SQL. На файлах резервных копий sql и еще на некоторых файлах появилось расширение .rag2hdst . В каждой папке появился файл DECRIPT_FILES.TXT. Прилагаю логи FRST, DECRIPT_FILES.TXT и зашифрованный файл. 
      Addition.txt cache.1CD.rag2hdst DECRIPT_FILES.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.  
    • rokhaund
      Шифровальщик зашифровал базы данных
      Автор rokhaund
      Здравствуйте! Вчера на сервере с базами 1С, dr.web нашел и убил вирус. После чего обнаружил что все базы 1с зашифрованы и имеют расширение rag2hdst. В каждой папке лежит файлик DECRIPT_FILES.txt В котором естественно просят денег. Зашифрованный файл прикрепил к сообщению. Так же файлик с логами...
      Подскажите пожалуйста, реально ли расшифровать файлы?
      Спасибо...
    • DruzhyninS
      [РЕШЕНО] Вирус Шифровщик
      Автор DruzhyninS
      Шифровщик Стартонул и ломанул все - бэкапы были акроним зашифрованном разделе  - и те удалило !
      Помогите восстановить хоть один файл бекапа системы!
       
       
      Decrypting your files is easy. Take a deep breath and follow the steps below. 
       
      1 ) Make the proper payment.  Payments are made in Monero. This is a crypto-currency, like bitcoin. You can buy Monero, and send it, from the same places you can any other crypto-currency. If you're still unsure, google 'monero exchange'.    Sign up at one of these exchange sites and send the payment to the address below.   Payment Address (Monero Wallet):    87ZAuEY2UbsaW8u4juM6J7Pr74HAQLeESHycWNzT9nhML4MkqHaLy9fQMGKQRCzKiJS7e6h8BDSaHHsiJd9hLtHRKVhpKgi   2 ) Farther you should send your ip address to email address name4v@keemail.me Then you will receive all necessary key.    Prices : Days : Monero : Offer Expires  0-2 : 600$ :  13/01/2020  3-6 : 1000$ : 17/01/2020   Note: In 7 days your password decryption key gets permanently deleted.  You then have no way to ever retrieve your files. So pay now. Addition.txt
      FRST.txt
      DECRIPT_FILES.txt
×
×
  • Создать...