salted2020 поймал шифровальщик ooo4ps

[dampe]

Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла

EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar

[thyrex]

Правила оформления запроса о помощи

[safety]

16 минут назад, dampe сказал:

На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск

Система перегружалась после шифрования?

[dampe]

к сожалению, перезагружался.  прикладываю лог фарбар и пример сообщения

 

FRST.txt FILES_ENCRYPTED.txt

[safety]

Сами перегружали?

 

KVRT что нибудь нашел?

2025-03-02 13:46 - 2025-03-02 13:46 - 000000000 ____D C:\KVRT2020_Data

Добавьте отчеты по результату проверки в архиве без пароля.

 

Пробуйте в %TEMP% этого пользователя USR1CV83 выполнить поиск скриптов cmd, bat среди удаленных файлов с помощью r-studio, r.safer, getdataback

Изменено 2 марта пользователем safety

[dampe]

утилиты восстановления файлов обнаружили только факт существования данных cmd файлов, их содержимое мне недоступно. так же в temp есть папка с искусственно раздутыми файлами, думаю это для затирки секторов. логи кврт дам позже

 

прикладываю отчет кврт 

report_2025.03.02_16.55.26.klr.rar

[safety]

по отчету KVRT пусто.

 

Проверьте ЛС.

7 часов назад, dampe сказал:

обнаружили только факт существования данных cmd файлов

их невозможно восстановить?

+

Проверьте ЛС.

[dampe]

получили за определенную плату от взломщика дешифратор. направляю вам для анализа. вдруг кому еще пригодится

123.rar

[safety]

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

(Сегодня зашли с Salted2020. завтра зайдут с LockbitV3Black или Proton.)

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

9. запасаться криптовалютой, для новых выкупов, так как атаки не прекратятся.

 

 

Изменено 3 марта пользователем safety