Перейти к содержанию

поймал шифровальщик ooo4ps

dampe
 Поделиться

Рекомендуемые сообщения

dampe

dampe

Опубликовано
Опубликовано

Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла

EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar

safety

safety

Опубликовано
Опубликовано
16 минут назад, dampe сказал:

На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск

Система перегружалась после шифрования?

safety

safety

Опубликовано
Опубликовано (изменено)

Сами перегружали?

 

KVRT что нибудь нашел?

2025-03-02 13:46 - 2025-03-02 13:46 - 000000000 ____D C:\KVRT2020_Data

Добавьте отчеты по результату проверки в архиве без пароля.

 

Пробуйте в %TEMP% этого пользователя USR1CV83 выполнить поиск скриптов cmd, bat среди удаленных файлов с помощью r-studio, r.safer, getdataback

Изменено пользователем safety
dampe

dampe

Опубликовано
  • Автор
Опубликовано

image.thumb.png.91497c6d9e00d6e46b670054cf0b8ad4.png

утилиты восстановления файлов обнаружили только факт существования данных cmd файлов, их содержимое мне недоступно. так же в temp есть папка с искусственно раздутыми файлами, думаю это для затирки секторов. логи кврт дам позже

 

прикладываю отчет кврт 

report_2025.03.02_16.55.26.klr.rar

safety

safety

Опубликовано
Опубликовано

по отчету KVRT пусто.

 

Проверьте ЛС.

7 часов назад, dampe сказал:

обнаружили только факт существования данных cmd файлов

их невозможно восстановить?

+

Проверьте ЛС.

dampe

dampe

Опубликовано
  • Автор
Опубликовано

получили за определенную плату от взломщика дешифратор. направляю вам для анализа. вдруг кому еще пригодится

123.rar

safety

safety

Опубликовано
Опубликовано (изменено)
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

(Сегодня зашли с Salted2020. завтра зайдут с LockbitV3Black или Proton.)


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

9. запасаться криптовалютой, для новых выкупов, так как атаки не прекратятся.

 

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ivan_S
      Шифровальщик .ooo4ps
      Автор Ivan_S
      Добрый день. Пойммали вирус-шифровальщик на сервер. выяснили что все действия проводились через пользователя под которым крутилась 1с, однако была создана его копия, в которой хранится файл DiskCryptor. Ниже прикрепляю файл логов, а так же пара зашифрованных файлов вместе с архивом вируса

       
      Files.rar FRST.txt virus.rar
    • aryanatha
      Заразились шифровальщиком
      Автор aryanatha
      Здравствуйте
      Сервер под управлением Windows Server 2012 R2
      Заходили на него используя RDP
      2 диска зашифровались BitLockerом
      Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
      В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
      Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
      в приложении логи анализа и да зашифрованный файла Эксель.
      файл с вирусом не нашли. требований денег не нашли
      возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 
      и после этого с дестопа по RDP ходил на сервер
      прошу помощи
    • pizzador
      Помощь в борьбе с шифровальщиками-вымогателями
      Автор pizzador
      Доброго времени суток. В компании работаю не давно,сервер находится на удаленке.Был доступ по РДП . Микротика не было.Заказал,но не успел прийти.По итогу после многочисленных атак ,в сервер проник шифровальщик и все закрыл.Бекапы делались на другие диски.Они заблокированы битлокером . Расшерение .le0
      Addition.txt FRST.txt Shortcut.txt Ильинский до корректировок осв.xlsx.zip
    • eNCwaer
      Зашифрованы файлы Salted
      Автор eNCwaer
      Добрый день! Сегодня утром поймали шифровальщик.
      В наименования файлов добавилось .le0
      Так же всплывает текстовый документ со следующим содержимым:
      "All your data has been locked us
      You want to return?
      Write email adk0@keemail.me"

      Файлы в архиве
      Пароль 123
      Files.rar
    • Дмитрий Миняев
      Зашифрованы файлы
      Автор Дмитрий Миняев
      Добрый день.
      Зашифровались данные на сервере. На сервере был установлен Small Buziness security, он не зашифровался.
      Данные по серверу, файл txt и примеры зашифрованных файлов прилагаю.
      Addition.txt FRST.txt FILES_ENCRYPTED.txt server.rar
×
×
  • Создать...