salted2020 Зашифровали файлы с расширением oo4ps и диски Bitlocker

[Kazantipok]

Windows Server 2019 развернут 31.01.25.

 

До 08:24 16.02.25 все работало. Была установлена синхронизация с Dropbox диска D. После этого по логам начали удаляться все папки и файлы. С утра 17.02.25 сервер 1С не доступен, пароль Админа к серверу по RDP не подходил, сервер перезагружался (не помогло), вручную вкл./выкл. помогло, зашел под другой учеткой с админ. правами, сбросил пароль основной учетки Админ. По итогу на диске С файлы с расширением .oo4ps и два диска D и E запаролены Bitlocker.

Помогите пожалуйста разблокировать диск E - там хранились бекапы.

Desktop.rar FRST.txt Addition.txt

Изменено Понедельник в 21:54 пользователем safety

[safety]

В TEMP этого пользователя USR1CV83 выполните поиск исполняемых файлов (exe, bat, cmd), созданных в интервале

с 2025-02-16 08:08 по 2025-02-16 08:37

[Kazantipok]

По поиску исполняемых файлов (exe, bat, cmd) не обнаружено. Только документы и в основном .txt файлы (FILES_ENCRYPTED.txt)

[safety]

Возможно эти файлы есть среди удаленных.

Пробуйте еще выполнить поиск этих же файлов среди удаленных файлов. через r-studio, r.safer, getdataback.

Изменено Вторник в 06:44 пользователем safety

[Kazantipok]

Просканировал все - исполняемых файлов также не нашел. В удаленных тоже не нашел, но были 2 экзешника, но другой датой (см. скрины). Искал и r-studio и r.saver

[safety]

Нет, так нет.

Шифрование ooo4ps идет симметричным ключем AES, восстановить ключ каким=то образом после перезагрузки системы проблемно.

По паролям к зашифрованным дискам Bitlocker можно обратиться к специализированным инструментам.

Например, Elcomsoft Forendic Disk Decryptor. Может что-то и получится: либо извлечь ключи из дампа памяти, либо извлечь метаданные из зашифрованного диска и пытаться брутить пароль.

Либо обратиться в специализированную компанию.

Изменено Вторник в 11:36 пользователем safety