Перейти к содержанию

Зашифрованы диски на серверах BitLocker, все кроме системных. Помогите пожалуйста

Александр Черенов

Автор Александр Черенов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Александр Черенов

Александр Черенов

Опубликовано
Опубликовано (изменено)

Добрый день. Прошу помощи. Ночью зашифровали все диски на 2-х серверах. Все диски кроме системных. Bitlocker. Ну и естественно оставили файл с требованием оплатить деньги на криптокошелек.( почта bitlockerlock.unlock@gmail.com и davidblaine@mail2world.com)

На серверах было все - базы, бекапы, документы и т.д. Очень прошу помочь. Оплатим работы.

Мой номер +7919893**** (ватсап, телега, звонки)

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

На системном диске есть зашифрованные файлы с расширением ooo4ps или с другим расширением?

Пришлите в архиве без пароля файл записки о выкупе+ несколько зашифрованных файлов + логи FRST (FRST.txt и Addition.txt)

safety

safety

Опубликовано
Опубликовано

Про диски с Bitlocker я  понял.

Предыдущие случаи шифрования с Bitlocker были по сценарию: на системном диске часть файлов шифруется с определенным расширением, например ooo4ps, несистемные диски шифруются Bitlocker,

Логи проверю, отвечу.

Александр Черенов

Александр Черенов

Опубликовано
  • Автор
Опубликовано

Спасибо. Жду, но файлов с таким расширением нет

safety

safety

Опубликовано
Опубликовано

Судя по логам, следов шифрования файлов на системном диске нет.

Покажите на скриншоте какая форма выходит при попытке открыть зашифрованный диск.

+

Проверьте ЛС.

Александр Черенов

Александр Черенов

Опубликовано
  • Автор
Опубликовано

Вот скрин что выходит при попытке открыть диск

1.zip

Сообщение в ЛС вышлю как будет готов лог

проверьте ЛС

safety

safety

Опубликовано
Опубликовано (изменено)

Хорошо, жду лог.

+

Определяем дату и время последней перезагрузки системы:

можно получить данное время в командной строке, запущенной от Администратора

В командной строке выполнить:     
   C:\Windows\System32>wmic path Win32_OperatingSystem get LastBootUpTime

Получаем значение даты и времени последней перезагрузки системы LastBootUpTime

-------

Покажите данное значение. Можно на скрине.

Изменено пользователем safety
  • safety закрыто, открыто и закрыто это тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • juzvel
      BitLocker зашифрованы кроме системного раздела.
      Автор juzvel
      Добрый день. Зашифровались BitLocker'ом разделы, кроме системного. Диск смонтированный как папка не тронут(Это на другом ПК, с того хожу на этот по рдп). РДП открыт на нестандартном порту. Так же был изменен пароль пользователя, с этим разобрался. Шифрованых файлов на системном диске не обнаружил
      FRST.txtAddition.txtPLEASE READ.txt 
    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

    • Alkart1975
      Зашифровали диск с данными српедствами BitLocker
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
×
×
  • Создать...