Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Проблема с ooo4ps и bitlocker

Михаил Лысов

Автор Михаил Лысов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Михаил Лысов Новичок

Михаил Лысов

Опубликовано
Опубликовано

Заблокирован диск. Прошу помощи с разблокировкой. Скорее всего подобрали пароль. В системе только два пользователя.

1.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

добавьте несколько зашифрованных ooo4ps файлов

+

Смотрим аналогичную тему здесь на форуме.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

По вашим логам:

1. Это

(explorer.exe ->) (AO Kaspersky Lab -> Kaspersky Lab AO) C:\temp\CoinVaultDecryptor.exe

не поможет с расшифровкой, тип шифровальщика другой.

 

2. этот файл

C:\temp\logon.ps1 <==== ВНИМАНИЕ

добавьте, пожалуйста, в архиве, с паролем virus

 

3. декрипторы не следует запускать все подряд, если не определили тип шифровальщика.

Цитата

2025-02-23 23:45 - 2025-02-23 23:45 - 000002064 _____ C:\CoinVaultDecryptor.1.0.1.0_23.02.2025_23.45.08_log.txt
2025-02-23 23:44 - 2025-02-23 23:44 - 000002424 _____ C:\ShadeDecryptor.1.2.1.0_23.02.2025_23.44.06_log.txt
2025-02-23 23:41 - 2025-02-23 23:43 - 000002402 _____ C:\WildfireDecryptor.1.0.1.0_23.02.2025_23.41.35_log.txt
2025-02-23 23:40 - 2025-02-23 23:41 - 000002304 _____ C:\RannohDecryptor.1.26.1.0_23.02.2025_23.40.37_log.txt
2025-02-23 23:34 - 2025-02-23 23:37 - 000002484 _____ C:\RakhniDecryptor.1.47.2.0_23.02.2025_23.34.32_log.txt

 

4. произошел взлом учетной записи

2025-02-21 18:55 - 2025-02-21 19:45 - 000000000 ____D C:\Users\USR1CV83

 

5. запуск шифрования системного и дополнительных разделов (Bitlocker) выполнялся под данной учетной записью.

 

6.  пробуйте выполнить поиск среди удаленных файлов (с помощью r-studio, r.safer, getdataback.) в TEMP данного пользователя USR1CV83 скриптов *.cmd, *.bat, *.ps1 ближе или чуть дальше к моменту шифрования.

2025-02-21 18:55 - 2025-02-21 19:45 - 000000000 ____D C:\Users\USR1CV83
2025-02-21 19:45 - 2024-08-22 13:25 - 000000940 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Михаил Лысов Новичок

Михаил Лысов

Опубликовано
  • Автор
Опубликовано

2. приложилlogon.rar

3. буду знать, спасибо

4. да, увидел

 image.png.f7a7e58364e5d673a928eabb60cf1c31.png

 

6. пойду делать

 

мне главное разблокировать диск, на нём базы

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • boston
      ooo4ps bitlocker
      Автор boston
      прощу помощи, сегодня с утра весь сервер заблокирован вирусом шифровальщиком
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • qwert1
      заблочили диски и файлы зашифровали (bitlocker & ooo4ps)
      Автор qwert1
      День добрый. Прошу помочь разблокировать диски и данные на них  - необходимые фалы приложил, кроме самого шифровальщика (его найти не удалось).
      При подключении к серверу с 1С все диски кроме С заблочены Битлокером, с рабочего столе самозапустился файл FILES_ENCRYPTED с сообщением о взломе.
      exampleOOO4PS.zip Addition.txt FRST.txt FILES_ENCRYPTED.txt
    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
    • Korwin312
      Шифровальщик ooo4ps.
      Автор Korwin312
      Добрый день.
      Зашифрованы файлы на диске C. Полностью заблокирован диск D.
      Атака совершена 22.02 около полуночи.
      Файлы прилагаю.
       
      FRST.txt Addition.txt Shortcut.txt FILES_ENCRYPTED.txt logo_TF_2016_222px (1).png.rar
×
×
  • Создать...