Перейти к содержанию

Зашифровали файлы с расширением oo4ps и диски Bitlocker

Kazantipok
 Поделиться

Рекомендуемые сообщения

Kazantipok

Kazantipok

Опубликовано
Опубликовано (изменено)

Windows Server 2019 развернут 31.01.25.

 

До 08:24 16.02.25 все работало. Была установлена синхронизация с Dropbox диска D. После этого по логам начали удаляться все папки и файлы. С утра 17.02.25 сервер 1С не доступен, пароль Админа к серверу по RDP не подходил, сервер перезагружался (не помогло), вручную вкл./выкл. помогло, зашел под другой учеткой с админ. правами, сбросил пароль основной учетки Админ. По итогу на диске С файлы с расширением .oo4ps и два диска D и E запаролены Bitlocker.

Помогите пожалуйста разблокировать диск E - там хранились бекапы.

Desktop.rar FRST.txt Addition.txt

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

В TEMP этого пользователя USR1CV83 выполните поиск исполняемых файлов (exe, bat, cmd), созданных в интервале

с 2025-02-16 08:08 по 2025-02-16 08:37

Kazantipok

Kazantipok

Опубликовано
  • Автор
Опубликовано

По поиску исполняемых файлов (exe, bat, cmd) не обнаружено. Только документы и в основном .txt файлы (FILES_ENCRYPTED.txt)

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно эти файлы есть среди удаленных.

Пробуйте еще выполнить поиск этих же файлов среди удаленных файлов. через r-studio, r.safer, getdataback.

Изменено пользователем safety
Kazantipok

Kazantipok

Опубликовано
  • Автор
Опубликовано

Просканировал все - исполняемых файлов также не нашел. В удаленных тоже не нашел, но были 2 экзешника, но другой датой (см. скрины). Искал и r-studio и r.saver

Screenshot_1.png

Screenshot_2.png

safety

safety

Опубликовано
Опубликовано (изменено)

Нет, так нет.

Шифрование ooo4ps идет симметричным ключем AES, восстановить ключ каким=то образом после перезагрузки системы проблемно.

По паролям к зашифрованным дискам Bitlocker можно обратиться к специализированным инструментам.

Например, Elcomsoft Forendic Disk Decryptor. Может что-то и получится: либо извлечь ключи из дампа памяти, либо извлечь метаданные из зашифрованного диска и пытаться брутить пароль.

Либо обратиться в специализированную компанию.

Изменено пользователем safety
  • Спасибо (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)
41 минуту назад, Korwin312 сказал:

Ситуация такая же.

Создайте отдельную тему в данном разделе, выложите все необходимые файлы, согласно правилам. 

«Порядок оформления запроса о помощи».

Не пишите в чужой теме.

Изменено пользователем safety
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • soulseal
      помощь с шифровальщиком
      Автор soulseal
      Здравствуйте
       
      Подхватили шифровальщика, возможно помочь с расшифровкой?
      Логи FRST, требования и зашифрованный файл прикладываю
      FRST.txt Addition.txt FILES_ENCRYPTED.txt crypt.zip
    • KHAN
      Шифровальщик ooo4ps
      Автор KHAN
      Добрый день.
       
      Поймали шифровальщика ooo4ps.
      Логи собраны, во вложении.
      Прошу помочь.
      CollectionLog-2025.10.13-12.10.zip
      FRST.zip Шифрованный файл.zip
    • Тунсю
      Поймали шифровальщик "ooo4ps" Bitlocker
      Автор Тунсю
      Здравствуйте! Подхватили заразу a38261062@gmail.com ooo4ps, зашифрованы на сервере файлы на рабочем столе и диски, как вернуть сервер в штатный режим и обезопасить себя в будущем,  может есть какое-то решение?
      при проверки сервера угрозы не были найдены 
    • Pospelovdima
      ooo4ps a38261062@gmail.com
      Автор Pospelovdima
      Подхватил заразу a38261062@gmail.com ooo4ps  может есть у кого решение ?
    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


×
×
  • Создать...