Перейти к содержанию

Шифровальщик зашифровал на уровне разделов

hiveliberty
 Поделиться

Рекомендуемые сообщения

hiveliberty

hiveliberty

Опубликовано
Опубликовано

Доброго дня,
Коллеги столкнулись вчера с интересным шифровальщиком

Windows Server 2022
Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
Пробовал отправлять куски через Virustotal - ни одного срабатывания.
Пока прикреплять не стал, согласно правилам)

Доступа к диску, естественно, нет и файлы никакие не получить.
Доступен только диск загрузчика и Recovery

По большому счёту интересно, можно ли с этим что-то делать.
И в целом, новое что-то?

Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
Те спросили имя домена, серверов или их айпишники.
По имени домена предоставили список файлов с паролями, скрин.

Screenshot 2025-06-09 193650.png

hiveliberty

hiveliberty

Опубликовано
  • Автор
Опубликовано

Elcomsoft Forensic Disk Decryptor определил TrueCrypt/VeraCrypt

safety

safety

Опубликовано
Опубликовано

Если у EFDD заявлены функции:

  • Расшифровка томов BitLocker (в том числе To Go), FileVault 2, PGP Disk, TrueCrypt и VeraCrypt
  • Мгновенное извлечение метаданных шифрования для восстановления текстового пароля к зашифрованным дискам TrueCrypt, VeraCrypt, BitLocker, FileVault, PGP Disk и LUKS/LUKS2, дискам и контейнерам Jetico BestCrypt

то можете и проверить, сможет восстановить пароль к зашифрованным томам или нет.

 

hiveliberty

hiveliberty

Опубликовано
  • Автор
Опубликовано (изменено)

Elcomsoft Forensic Disk Decryptor - не умеет
А вот в составе с Elcomsoft Distributed Password Recovery может.
Извлекаются данные из шифрованного раздела и через Elcomsoft Distributed Password Recovery производится брут форс атака, например.
Вот только нюанс в том, что нужно не мало так мощностей вычислительных, чтобы пароли брутфорсить до 32 символов, хотя бы. Кто его знает, какую длину пароля юзают эти мошенники.

p.s. Мошенники слили, кстати, какой софт юзали - diskcryptor

Изменено пользователем hiveliberty
safety

safety

Опубликовано
Опубликовано
1 час назад, hiveliberty сказал:

p.s. Мошенники слили, кстати, какой софт юзали - diskcryptor

Проверьте ЛС.

alexchernobylov

alexchernobylov

Опубликовано
Опубликовано

Добрый день. словил такую же дрянь. подскажите, пожалуйста, можно ли восстановить данные? тот же @BeGood327

safety

safety

Опубликовано
Опубликовано
3 часа назад, alexchernobylov сказал:

подскажите, пожалуйста, можно ли восстановить данные? тот же @BeGood327

Создайте отдельную тему в данном разделе, не пишите в чужой теме.

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр Нефёдов
      Зашифрованы компьютеры в локальной сети. вымогатель DCHELP.ORG
      Автор Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • Инфлюенсер
      Данные зашифрованные с помощью diskCriptor
      Автор Инфлюенсер
      Добрый день, произошел взлом системы. Пострадали пк и сервера, злоумышленник зашифровал данные. Так же попросил выкуп. для теста дал пароль от одного из дисков с помощью которого удалось расшифровать диск с которого собраны логи по запросу, в данный момент диски заблокированы. Требуется ли с помощью программы R.Saver   попытаться вытащить какиет-о файлы, так как в настоящий момент  диски являются роу
      Addition.txtFRST.txt
    • RuslanSaetov
      Server locked, файловая система raw
      Автор RuslanSaetov
      Здравствуйте! Одним прекрасным днем компьютер выдает сообщение SERVER LOCKED Contact by email: dhelp@mailfence.com or Telegram @Dchelp.
      При подключении диска к другому компу, диск C отображает файловую систему raw и просит отформатировать. Программой GetDataBack 5 нашел файловую систему и сами файлы. Большинство файлов открываются нормально, но кроме тяжелых 30Gb+. Сами файлы с виду не зашифрованы. Нужны базы SQL.
      В папке tmp нашел исполняемые файлы. Можно ли с этими данными как-то наладить MFT?
      пароль на архив virus 

      DHELP.zip
    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


×
×
  • Создать...