Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Доброго дня!

Столкнулись с плохими парнями, причем в процессе шифрования. Перетягивали сеансы на серверах. Часть данных успели спасти. От этих ребят успели поиметь саму утиль шифровальную и файлик private.txt  с ключиком.

Помогите с дальнейшими действиями.

Изменено пользователем ITK
Опубликовано

Добавьте, пожалуйств, файл шифровальщика в архиве с паролем virus, private.txt и несколько зашифрованных файлов в архиве без пароля.

Если не было перезагрузки системы, сделайте полный дамп физической памяти, загрузите на облачный диск и дайте ссылку на загрузку файла дампа.

Опубликовано (изменено)

Добрый день! Прикладываю архив шифровальщика с паролем, файл с инфо от них с паролем, примеры шифрованных файлов, и файл private.txt. Есть еще какие-то парольные фразы, выхватили успели, для входа в шифровальщик использовали. С дампом сейчас подумаем.

Files.rar GUI_171awfw6.rar How To Restore Your Files.rar private.txt

Изменено пользователем ITK
  • Like (+1) 1
Опубликовано
1 час назад, ITK сказал:

Есть еще какие-то парольные фразы, выхватили успели, для входа в шифровальщик использовали

Добавьте, пожалуйста, в файл текстовые фразы. Скорее всего используются при запуске сэмпла.

Опубликовано
25 минут назад, safety сказал:

Добавьте, пожалуйста, в файл текстовые фразы. Скорее всего используются при запуске сэмпла.

Поправка, они генерятся при запуске шифровальщика, то есть уникальны для сервера, где стартует. Так что наши не актуальны. Мы в песочнице запускали его.

Опубликовано

В этой папке что у вас?

2025-08-12 11:20 - 2025-08-12 11:20 - 000000000 _RSHD C:\ProgramData\Key-Base

 

Опубликовано (изменено)
Цитата

Прикладываю содержимое. Что это, не могу сказать. Папка скрытая.

 

Возможно это было связано с запуском приложения Stellar Repair

2025-08-12 11:20 - 2025-08-12 11:20 - 000000000 _RSHD C:\ProgramData\Key-Base
2025-08-12 11:20 - 2025-08-12 11:20 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stellar Repair for MS SQL Technician
2025-08-12 11:20 - 2025-08-12 11:20 - 000000000 ____D C:\ProgramData\{F8901C21-8DFF-4294-84DE-0616297967F8}
2025-08-12 11:20 - 2025-08-12 11:20 - 000000000 ____D C:\Program Files\Stellar Repair for MS SQL Technician

 

 

По факту, в таких случаях, в первую очередь, делаем полны дамп физической памяти с сохранением на сторонний диск, потом все остальное.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • iluha_r
      Автор iluha_r
      Прошу помочь с шифровальщиком вымогателем hardbit 4.2
      В выходные поймали и он зашифровал базы данных на серверах и резервные копии.
       
      Высылаю файл с сервера 1с для анализа
      Можно проанализировать возможность расшифровки?
      Addition.txt FRST.txt KSOS report.txt пример зашифрованных файлов.zip
×
×
  • Создать...