hardbit v4 HardBit 4.2

[ITK]

Доброго дня!

Столкнулись с плохими парнями, причем в процессе шифрования. Перетягивали сеансы на серверах. Часть данных успели спасти. От этих ребят успели поиметь саму утиль шифровальную и файлик private.txt  с ключиком.

Помогите с дальнейшими действиями.

Изменено 11 августа, 2025 пользователем ITK

[safety]

Добавьте, пожалуйств, файл шифровальщика в архиве с паролем virus, private.txt и несколько зашифрованных файлов в архиве без пароля.

Если не было перезагрузки системы, сделайте полный дамп физической памяти, загрузите на облачный диск и дайте ссылку на загрузку файла дампа.

[ITK]

Добрый день! Прикладываю архив шифровальщика с паролем, файл с инфо от них с паролем, примеры шифрованных файлов, и файл private.txt. Есть еще какие-то парольные фразы, выхватили успели, для входа в шифровальщик использовали. С дампом сейчас подумаем.

Files.rar GUI_171awfw6.rar How To Restore Your Files.rar private.txt

Изменено 12 августа, 2025 пользователем ITK

[safety]

1 час назад, ITK сказал:

Есть еще какие-то парольные фразы, выхватили успели, для входа в шифровальщик использовали

Добавьте, пожалуйста, в файл текстовые фразы. Скорее всего используются при запуске сэмпла.

[ITK]

25 минут назад, safety сказал:

Добавьте, пожалуйста, в файл текстовые фразы. Скорее всего используются при запуске сэмпла.

Поправка, они генерятся при запуске шифровальщика, то есть уникальны для сервера, где стартует. Так что наши не актуальны. Мы в песочнице запускали его.

[safety]

Хорошо, проверьте ЛС.

[ITK]

Логи FRST

Addition.txt FRST.txt

[safety]

В этой папке что у вас?

2025-08-12 11:20 - 2025-08-12 11:20 - 000000000 _RSHD C:\ProgramData\Key-Base

 

[ITK]

Прикладываю содержимое. Что это, не могу сказать. Папка скрытая.

40f0451b.051.rar

 

Отчет с утилиты. 

ESVC_SPBSQLOK_20250815104226.zip

 

Со второго сервера

ESVC_SPBFS02_20250815134238.zip

Изменено 15 августа, 2025 пользователем ITK

[safety]

Цитата

Прикладываю содержимое. Что это, не могу сказать. Папка скрытая.

 

Возможно это было связано с запуском приложения Stellar Repair

2025-08-12 11:20 - 2025-08-12 11:20 - 000000000 _RSHD C:\ProgramData\Key-Base
2025-08-12 11:20 - 2025-08-12 11:20 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stellar Repair for MS SQL Technician
2025-08-12 11:20 - 2025-08-12 11:20 - 000000000 ____D C:\ProgramData\{F8901C21-8DFF-4294-84DE-0616297967F8}
2025-08-12 11:20 - 2025-08-12 11:20 - 000000000 ____D C:\Program Files\Stellar Repair for MS SQL Technician

 

 

По факту, в таких случаях, в первую очередь, делаем полны дамп физической памяти с сохранением на сторонний диск, потом все остальное.

Изменено 17 августа, 2025 пользователем safety

[safety]

2 часа назад, Mehmet сказал:

Im also hacked whit harbit 4.2

Создайте отдельную тему в данном разделе, не пишите в чужой теме.