Перейти к содержанию

Зашифровали файлы с расширением oo4ps и диски Bitlocker

Kazantipok
 Поделиться

Рекомендуемые сообщения

Kazantipok Новичок

Kazantipok

Опубликовано
Опубликовано (изменено)

Windows Server 2019 развернут 31.01.25.

 

До 08:24 16.02.25 все работало. Была установлена синхронизация с Dropbox диска D. После этого по логам начали удаляться все папки и файлы. С утра 17.02.25 сервер 1С не доступен, пароль Админа к серверу по RDP не подходил, сервер перезагружался (не помогло), вручную вкл./выкл. помогло, зашел под другой учеткой с админ. правами, сбросил пароль основной учетки Админ. По итогу на диске С файлы с расширением .oo4ps и два диска D и E запаролены Bitlocker.

Помогите пожалуйста разблокировать диск E - там хранились бекапы.

Desktop.rar FRST.txt Addition.txt

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Возможно эти файлы есть среди удаленных.

Пробуйте еще выполнить поиск этих же файлов среди удаленных файлов. через r-studio, r.safer, getdataback.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Kazantipok Новичок

Kazantipok

Опубликовано
  • Автор
Опубликовано

Просканировал все - исполняемых файлов также не нашел. В удаленных тоже не нашел, но были 2 экзешника, но другой датой (см. скрины). Искал и r-studio и r.saver

Screenshot_1.png

Screenshot_2.png

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Нет, так нет.

Шифрование ooo4ps идет симметричным ключем AES, восстановить ключ каким=то образом после перезагрузки системы проблемно.

По паролям к зашифрованным дискам Bitlocker можно обратиться к специализированным инструментам.

Например, Elcomsoft Forendic Disk Decryptor. Может что-то и получится: либо извлечь ключи из дампа памяти, либо извлечь метаданные из зашифрованного диска и пытаться брутить пароль.

Либо обратиться в специализированную компанию.

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
41 минуту назад, Korwin312 сказал:

Ситуация такая же.

Создайте отдельную тему в данном разделе, выложите все необходимые файлы, согласно правилам. 

«Порядок оформления запроса о помощи».

Не пишите в чужой теме.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • qwert1
      заблочили диски и файлы зашифровали (bitlocker & ooo4ps)
      Автор qwert1
      День добрый. Прошу помочь разблокировать диски и данные на них  - необходимые фалы приложил, кроме самого шифровальщика (его найти не удалось).
      При подключении к серверу с 1С все диски кроме С заблочены Битлокером, с рабочего столе самозапустился файл FILES_ENCRYPTED с сообщением о взломе.
      exampleOOO4PS.zip Addition.txt FRST.txt FILES_ENCRYPTED.txt
    • Александр КС
      Зашифровались файлы на компе и на сетевом диске.
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • robocop1974
      Зашифрованные файлы
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
×
×
  • Создать...