Перейти к содержанию

Зашифровали диски на уровне разделов

alexchernobylov
 Поделиться

Рекомендуемые сообщения

alexchernobylov

alexchernobylov

Опубликовано
Опубликовано

Добрый день.

Windows Server 2019
Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.

Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.

Они спросили имя домена, серверов или их айпишники.
Доступа к диску нет и файлы никакие не получить.

Подскажите, пожалуйста, как справиться с данной заразой.

Screenshot_2.jpg

Screenshot2025-06-09193650.png.735d8e155acf5f484faea9c22d24f5d2.png

safety

safety

Опубликовано
Опубликовано

После шифрования диска в Bitlocker другое сообщение выходит на экране.

Здесь, возможно шифрование было выполнено в DiskCryptor.

alexchernobylov

alexchernobylov

Опубликовано
  • Автор
Опубликовано

Чистый интерес, с первым сервером понятно, по RDP пробили (забыл\забил про него). А вот со вторым как? у него RDP даже не поднят был и хоть в одной подсети, но разные домены и сетевых дисков не было расшарено. или есть способы запихнуть на диск DiskCryptor без доступа?

  • 2 месяца спустя...
Сергей а1

Сергей а1

Опубликовано
Опубликовано

Тоже подхватил его. Не разобрался как расшифровать?

 

thyrex

thyrex

Опубликовано
Опубликовано

При использовании легитимных утилит шансов на подбор ключа за приемлемое время никаких.

  • 1 месяц спустя...
Nikita.s

Nikita.s

Опубликовано
Опубликовано
В 17.06.2025 в 07:46, alexchernobylov сказал:

Добрый день.

Windows Server 2019
Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.

Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.

Они спросили имя домена, серверов или их айпишники.
Доступа к диску нет и файлы никакие не получить.

Подскажите, пожалуйста, как справиться с данной заразой.

Screenshot_2.jpg

Screenshot2025-06-09193650.png.735d8e155acf5f484faea9c22d24f5d2.png

Удалось победить?

  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр Нефёдов
      Зашифрованы компьютеры в локальной сети. вымогатель DCHELP.ORG
      Автор Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • hiveliberty
      Шифровальщик зашифровал на уровне разделов
      Автор hiveliberty
      Доброго дня,
      Коллеги столкнулись вчера с интересным шифровальщиком

      Windows Server 2022
      Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
      С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
      И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
      Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
      Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
      Пробовал отправлять куски через Virustotal - ни одного срабатывания.
      Пока прикреплять не стал, согласно правилам)

      Доступа к диску, естественно, нет и файлы никакие не получить.
      Доступен только диск загрузчика и Recovery

      По большому счёту интересно, можно ли с этим что-то делать.
      И в целом, новое что-то?

      Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
      Те спросили имя домена, серверов или их айпишники.
      По имени домена предоставили список файлов с паролями, скрин.

    • Habiz
      Шифровальщик diskcryptor. Помогите с логами.
      Автор Habiz
      Доброго дня ,  друзья эксперты. 
      Кратко: Все сервера и пк были зашифрованы дискриптор. В процессе переговоров с злоумышленниками , были получены ключи от некоторых серверов. один из них, поучилось полностью дешифровать. Сняты логи. Нет понимания, из под какой уз была произведена атака. Прошу эксперта, не публиковать в теме разбор, если возможно, а написать в лс, так как внутреннее расследование еще в процессе. Заранее благодарен. С новым годом, не случайно сюда забредших.
    • d_kid
      Зашифровали диски @BeGood327
      Автор d_kid
      попали через rdp зашифровали диски. в процессе переговоров получили для проверки к некоторым компьютерам ключи засшифровки через DiskCryptor. 
      есть ли возможность расшифровать остальные компьютеры, ВМ не связываясь со злоумшленником
    • DionMaster
      Шифровальщик зашифрованы Диски
      Автор DionMaster
      прилетел шифровальщик, заблокированы разделы, по форме сайта оформить не получается т.к. данные собрать никак, прилагаю фото при включении может быть есть куда копать? 
      в системе диски отображаются как RAW
      ССД подключил к другому ПК прогнал утилитой но врятли что там чтото нашлось


      Addition.txt FRST.txt
×
×
  • Создать...