Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Windows Server 2019 развернут 31.01.25.

 

До 08:24 16.02.25 все работало. Была установлена синхронизация с Dropbox диска D. После этого по логам начали удаляться все папки и файлы. С утра 17.02.25 сервер 1С не доступен, пароль Админа к серверу по RDP не подходил, сервер перезагружался (не помогло), вручную вкл./выкл. помогло, зашел под другой учеткой с админ. правами, сбросил пароль основной учетки Админ. По итогу на диске С файлы с расширением .oo4ps и два диска D и E запаролены Bitlocker.

Помогите пожалуйста разблокировать диск E - там хранились бекапы.

Desktop.rar FRST.txt Addition.txt

Изменено пользователем safety
Опубликовано

В TEMP этого пользователя USR1CV83 выполните поиск исполняемых файлов (exe, bat, cmd), созданных в интервале

с 2025-02-16 08:08 по 2025-02-16 08:37

Опубликовано

По поиску исполняемых файлов (exe, bat, cmd) не обнаружено. Только документы и в основном .txt файлы (FILES_ENCRYPTED.txt)

Опубликовано (изменено)

Возможно эти файлы есть среди удаленных.

Пробуйте еще выполнить поиск этих же файлов среди удаленных файлов. через r-studio, r.safer, getdataback.

Изменено пользователем safety
Опубликовано

Просканировал все - исполняемых файлов также не нашел. В удаленных тоже не нашел, но были 2 экзешника, но другой датой (см. скрины). Искал и r-studio и r.saver

Screenshot_1.png

Screenshot_2.png

Опубликовано (изменено)

Нет, так нет.

Шифрование ooo4ps идет симметричным ключем AES, восстановить ключ каким=то образом после перезагрузки системы проблемно.

По паролям к зашифрованным дискам Bitlocker можно обратиться к специализированным инструментам.

Например, Elcomsoft Forendic Disk Decryptor. Может что-то и получится: либо извлечь ключи из дампа памяти, либо извлечь метаданные из зашифрованного диска и пытаться брутить пароль.

Либо обратиться в специализированную компанию.

Изменено пользователем safety
  • Спасибо (+1) 1
Опубликовано (изменено)
41 минуту назад, Korwin312 сказал:

Ситуация такая же.

Создайте отдельную тему в данном разделе, выложите все необходимые файлы, согласно правилам. 

«Порядок оформления запроса о помощи».

Не пишите в чужой теме.

Изменено пользователем safety
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • niktnt
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
    • astraoren
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • sss28.05.2025
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
    • Lingon
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Alkart1975
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
×
×
  • Создать...