Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифрованы диски на серверах BitLocker, все кроме системных. Помогите пожалуйста

Александр Черенов

Автор Александр Черенов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Александр Черенов

Александр Черенов

Опубликовано
Опубликовано (изменено)

Добрый день. Прошу помощи. Ночью зашифровали все диски на 2-х серверах. Все диски кроме системных. Bitlocker. Ну и естественно оставили файл с требованием оплатить деньги на криптокошелек.( почта bitlockerlock.unlock@gmail.com и davidblaine@mail2world.com)

На серверах было все - базы, бекапы, документы и т.д. Очень прошу помочь. Оплатим работы.

Мой номер +7919893**** (ватсап, телега, звонки)

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

На системном диске есть зашифрованные файлы с расширением ooo4ps или с другим расширением?

Пришлите в архиве без пароля файл записки о выкупе+ несколько зашифрованных файлов + логи FRST (FRST.txt и Addition.txt)

safety

safety

Опубликовано
Опубликовано

Про диски с Bitlocker я  понял.

Предыдущие случаи шифрования с Bitlocker были по сценарию: на системном диске часть файлов шифруется с определенным расширением, например ooo4ps, несистемные диски шифруются Bitlocker,

Логи проверю, отвечу.

Александр Черенов

Александр Черенов

Опубликовано
  • Автор
Опубликовано

Спасибо. Жду, но файлов с таким расширением нет

safety

safety

Опубликовано
Опубликовано

Судя по логам, следов шифрования файлов на системном диске нет.

Покажите на скриншоте какая форма выходит при попытке открыть зашифрованный диск.

+

Проверьте ЛС.

Александр Черенов

Александр Черенов

Опубликовано
  • Автор
Опубликовано

Вот скрин что выходит при попытке открыть диск

1.zip

Сообщение в ЛС вышлю как будет готов лог

проверьте ЛС

safety

safety

Опубликовано
Опубликовано (изменено)

Хорошо, жду лог.

+

Определяем дату и время последней перезагрузки системы:

можно получить данное время в командной строке, запущенной от Администратора

В командной строке выполнить:     
   C:\Windows\System32>wmic path Win32_OperatingSystem get LastBootUpTime

Получаем значение даты и времени последней перезагрузки системы LastBootUpTime

-------

Покажите данное значение. Можно на скрине.

Изменено пользователем safety
  • safety закрыто, открыто и закрыто это тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • bagr
      Зашифровались диски кроме системного
      Автор bagr
      На удаленном рабочем сервере зашифровались данные и диски, зашифрованные файлы достать не удалось. После шифрования все файлы получили доп расширение .rdata а диски кроме основного на котором стоит ОС зашифрованы BitLocker
      В корне каждого пользователя лежат файлы NTUSER.DAT и несколько похожих файлов скриншот прилагаю в архиве так как не удалось данные файлы заархивировать.
      В каждом каталоге Readme.txt с сообщением злоумышленника
       
      Просканил FRST. Логи вместе с файлом readme.txt прилагаю в архиве

      FRST.rar
    • NikLev
      Шифровальщик .rdata
      Автор NikLev
      Столкнулись с проблемой шифрования файлов на удаленном рабочем сервере. После шифрования все файлы получили доп расширение .rdata а диски кроме основного на котором стоит ОС зашифрованы BitLocker. В корне каждого пользователя лежит файл NTUSER.DAT.
       
      В каждом каталоге README.TXT с сообщением злоумышленника 
      To recover your data, contact us: rdata@onionmail.org
      The lowest price is valid only on the first day.
       
      Просканил FRST. Логи прилагаю в архиве
       
      Логи FRST.rar
    • MikeP
      Шифровальщик заразил компьютер
      Автор MikeP
      Добрый день! Шифратор заразил компьютер, скорее всего в выходные 31.01.26, заметили только сегодня. Важные файлы стали формата .ooo4ps. Файрвол виндовс был отключен. Просьба по возможности помочь с дешифровкой. Логи анализа Farbar Recovery Scan Tool,заражённые файлы и сообщение вируса во вложении
      Addition.txt FRST.txt Зараженные файлы.rar
    • qwazz
      поймал шифровальщик ooo4ps
      Автор qwazz
      Добрый день, поймал шифровальщика , файлы с разрешением ooo4ps.   тут выкладывали дешифратор. но я не могу его скачать.
      Сообщение от модератора kmscom Сообщение перенесено из темы поймал шифровальщик ooo4ps
       
    • aryanatha
      Заразились шифровальщиком
      Автор aryanatha
      Здравствуйте
      Сервер под управлением Windows Server 2012 R2
      Заходили на него используя RDP
      2 диска зашифровались BitLockerом
      Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
      В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
      Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
      в приложении логи анализа и да зашифрованный файла Эксель.
      файл с вирусом не нашли. требований денег не нашли
      возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 
      и после этого с дестопа по RDP ходил на сервер
      прошу помощи
×
×
  • Создать...