Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла

EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar

Опубликовано
16 минут назад, dampe сказал:

На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск

Система перегружалась после шифрования?

Опубликовано (изменено)

Сами перегружали?

 

KVRT что нибудь нашел?

2025-03-02 13:46 - 2025-03-02 13:46 - 000000000 ____D C:\KVRT2020_Data

Добавьте отчеты по результату проверки в архиве без пароля.

 

Пробуйте в %TEMP% этого пользователя USR1CV83 выполнить поиск скриптов cmd, bat среди удаленных файлов с помощью r-studio, r.safer, getdataback

Изменено пользователем safety
Опубликовано

image.thumb.png.91497c6d9e00d6e46b670054cf0b8ad4.png

утилиты восстановления файлов обнаружили только факт существования данных cmd файлов, их содержимое мне недоступно. так же в temp есть папка с искусственно раздутыми файлами, думаю это для затирки секторов. логи кврт дам позже

 

прикладываю отчет кврт 

report_2025.03.02_16.55.26.klr.rar

Опубликовано

по отчету KVRT пусто.

 

Проверьте ЛС.

7 часов назад, dampe сказал:

обнаружили только факт существования данных cmd файлов

их невозможно восстановить?

+

Проверьте ЛС.

Опубликовано

получили за определенную плату от взломщика дешифратор. направляю вам для анализа. вдруг кому еще пригодится

123.rar

Опубликовано (изменено)
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

(Сегодня зашли с Salted2020. завтра зайдут с LockbitV3Black или Proton.)


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

9. запасаться криптовалютой, для новых выкупов, так как атаки не прекратятся.

 

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Pospelovdima
      Автор Pospelovdima
      Подхватил заразу a38261062@gmail.com ooo4ps  может есть у кого решение ?
    • Алеся Сорокина
      Автор Алеся Сорокина
      Операционная система была переустановлена. Письмо и примеры файлов приложили. Пароль на архив virus
      virus.zip
    • Андрей007090
      Автор Андрей007090
      Помогите пожалуйста поймал шифровальщика 
      С и Д диски оба зашифрованы 
      С - переустановил 
      Д остался там все данные что нужны 
      Помогите  пожалуйста фото прикрепил 
       
      Что надо сделать что бы приложить суда коды ошибок или что именно зип архив ? 

    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • bakankovaelena
      Автор bakankovaelena
      Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.
      Файлы с файлами прилагаю
      OLD.7z
×
×
  • Создать...