salted2020 Шифровальщик openssl, 0004ps, bitlocker

[ferroussage]

Сегодня утром наш сервер на RDP подвергся взлому и шифрованию файлов 0004ps, а также битлокером на все диски, кроме C

В папке TEMP у пользователя USR1CV83 нашел исполняемые файлы,
прошу помощи, хоть и понимаю, что скорее всего без приватного ключа ничего не выйдет

файлы злодея.rar дескрипторы.rar

[ferroussage]

Shortcut.txtAddition.txtFRST.txt

[safety]

58 минут назад, ferroussage сказал:

прошу помощи, хоть и понимаю, что скорее всего без приватного ключа ничего не выйдет

Логи FRST посмотрю.

 

Заметим, что применение дешифраторов всех подряд, здесь только ненужная трата времени, так как они не предназначены для расшифровки данного типа шифровальщика.

 

т.е. на сканирование Xorist

10:06:23.0466 0x4494  Trojan-Ransom.Win32.Xorist decryptor tool 2.5.6.0 Jul 24 2024 15:08:46

10:20:45.0535 0x4a00  Can't init decryptor on file C:\Users\Manager3\Documents\articles.xlsx.ooo4ps

потрачено 14 минут

на сканирование Rector

10:03:21.0039 0x4430  Trojan-Ransom.Win32.Rector decryptor tool 2.7.1.0 Jul 24 2024 14:59:43

10:20:49.0214 0x4ab8  No decrypted files

потрачено 18 минут,

 

а судя по логу FRST вы последовательно запускали целый пак дешифраторов, ушло видимо более 1-2 часов

 

Изменено 3 часа назад пользователем safety