Перейти к содержанию

Зашифрованы диски на серверах BitLocker, все кроме системных. Помогите пожалуйста

Александр Черенов

Автор Александр Черенов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Александр Черенов

Александр Черенов

Опубликовано
Опубликовано (изменено)

Добрый день. Прошу помощи. Ночью зашифровали все диски на 2-х серверах. Все диски кроме системных. Bitlocker. Ну и естественно оставили файл с требованием оплатить деньги на криптокошелек.( почта bitlockerlock.unlock@gmail.com и davidblaine@mail2world.com)

На серверах было все - базы, бекапы, документы и т.д. Очень прошу помочь. Оплатим работы.

Мой номер +7919893**** (ватсап, телега, звонки)

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

На системном диске есть зашифрованные файлы с расширением ooo4ps или с другим расширением?

Пришлите в архиве без пароля файл записки о выкупе+ несколько зашифрованных файлов + логи FRST (FRST.txt и Addition.txt)

safety

safety

Опубликовано
Опубликовано

Про диски с Bitlocker я  понял.

Предыдущие случаи шифрования с Bitlocker были по сценарию: на системном диске часть файлов шифруется с определенным расширением, например ooo4ps, несистемные диски шифруются Bitlocker,

Логи проверю, отвечу.

Александр Черенов

Александр Черенов

Опубликовано
  • Автор
Опубликовано

Спасибо. Жду, но файлов с таким расширением нет

safety

safety

Опубликовано
Опубликовано

Судя по логам, следов шифрования файлов на системном диске нет.

Покажите на скриншоте какая форма выходит при попытке открыть зашифрованный диск.

+

Проверьте ЛС.

Александр Черенов

Александр Черенов

Опубликовано
  • Автор
Опубликовано

Вот скрин что выходит при попытке открыть диск

1.zip

Сообщение в ЛС вышлю как будет готов лог

проверьте ЛС

safety

safety

Опубликовано
Опубликовано (изменено)

Хорошо, жду лог.

+

Определяем дату и время последней перезагрузки системы:

можно получить данное время в командной строке, запущенной от Администратора

В командной строке выполнить:     
   C:\Windows\System32>wmic path Win32_OperatingSystem get LastBootUpTime

Получаем значение даты и времени последней перезагрузки системы LastBootUpTime

-------

Покажите данное значение. Можно на скрине.

Изменено пользователем safety
  • safety закрыто, открыто и закрыто это тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • aryanatha
      Заразились шифровальщиком
      Автор aryanatha
      Здравствуйте
      Сервер под управлением Windows Server 2012 R2
      Заходили на него используя RDP
      2 диска зашифровались BitLockerом
      Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
      В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
      Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
      в приложении логи анализа и да зашифрованный файла Эксель.
      файл с вирусом не нашли. требований денег не нашли
      возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 
      и после этого с дестопа по RDP ходил на сервер
      прошу помощи
    • Тунсю
      Поймали шифровальщик "ooo4ps" Bitlocker
      Автор Тунсю
      Здравствуйте! Подхватили заразу a38261062@gmail.com ooo4ps, зашифрованы на сервере файлы на рабочем столе и диски, как вернуть сервер в штатный режим и обезопасить себя в будущем,  может есть какое-то решение?
      при проверки сервера угрозы не были найдены 
    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
    • Alkart1975
      Зашифровали диск с данными српедствами BitLocker
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
    • Okay
      Salted2020 и USR1CV83
      Автор Okay
      Зашифровали сервер 1С на базе Windows Server 2019 Standard, все обновления стоят.
      Доступа по RDP нет, сервер 1С открытыми портами в интернет не светит.
      Почитав аналогичные темы, понял, что взломали через пользователя USR1CV83 (хотя в системе ему было задано другое имя).
      Примерное время взлома: 08.06.25 03:00 МСК. После шифрования все следы шифровальщика были удалены, системные журналы очищены, сервер выключен.
      Поиск по временным папкам ничего не дал. Elcomsoft Forensic Disk Decryptor тоже не помог.
      На восстановление файлов не надеюсь, восстановим из имеющихся резервных копий.
      Вопрос в том, каков именно механизм взлома и как защититься от подобного в будущем?
      Пользователь USR1CV83 был назван по-другому, пароль задан сложный, админские права ему нужны для корректной работы.
       
      FRST.txt Addition.txt FILES_ENCRYPTED.zip
×
×
  • Создать...