Перейти к содержанию

Поймал вирус-шифровальщик "ooo4ps"

Anadartes
 Поделиться

Рекомендуемые сообщения

Anadartes

Anadartes

Опубликовано
Опубликовано

Всем добрый вечер.
Вчера после очередного обновления 1С, примерно в 20:30 - 20:40 на выделенный удаленный сервер подхватили шифровальщика, проблему заметил сегодня с утра, сервер был перезагружен, когда я вошел в него, увидел что половина моих файлов, в том числе и базы 1С приняли расширение "OOO4PS" после этого, соответственно, базы перестали открываться, все нужные файлы были заражены, автоматически открылся файл об выкупе от мошенников, подскажите, пожалуйста, какое то решение проблемы.
Все необходимые файлы прикладываю, если нужно что то еще, готов дополнить.

Addition.txt FRST.txt Помощь.rar

safety

safety

Опубликовано
Опубликовано (изменено)

Дополнительные диски были зашифрованы Bitlocker или нет?

 

Если систему сканировали KVRT, Cureit или штатным антивирусом,

2025-12-23 10:43 - 2025-12-23 10:43 - 000000000 ____D C:\Users\Администратор\Doctor Web
2025-12-23 10:42 - 2025-12-23 10:44 - 280921152 _____ C:\Users\Администратор\Desktop\fgvrhzye.exe

добавьте отчеты по сканированию, в архиве. без пароля.

Изменено пользователем safety
Anadartes

Anadartes

Опубликовано
  • Автор
Опубликовано (изменено)

Прикладываю отчет с Cureit, он угроз не обнаружил, еще при первом сканировании, сейчас тоже не обнаружил ничего
Дополнительные диски с бекапами не были затронуты, заразили только системный диск С:

cureit.rar

Изменено пользователем Anadartes
safety

safety

Опубликовано
Опубликовано

Судя по логу Cureit ничего не найдено.

Total 8967776021 bytes in 27067 files scanned (30501 objects)
Total 27211 files (30501 objects) are clean
There are no infected objects detected
Scan time is 00:03:18.744

----------

Где то здесь начало шифрования.

2025-12-22 20:27 - 2024-08-22 13:25 - 000000940 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt

Проверьте, есть ли какие то исполняемые файлы(exe, bat, ps1, vbsm cmd) на системном диске, которые были созданы около этого времени

2025-12-22 20:15 - 2025-12-22 20:18 - 3324222032 _____ C:\Users\Администратор\Downloads\1Cv8.dt.ooo4ps

 

можно так же проверить среди удаленных файлов.

 

Anadartes

Anadartes

Опубликовано
  • Автор
Опубликовано (изменено)

Нет, никаких исполняемых файлов не обнаружил, возможно вирус все почистил после себя, сканил диск разными утилитами, удаленных файлов так же не обнаружил.
После шифрования, кстати, появился пользователь USR1CV83, у него были разного рода подозрительные файлы, но к сожалению, я этого пользователя удалил, сейчас ничего не смогу из этого показать.
Сам шифратор проявил себя спустя несколько часов после установки конфигурации, использовались не официальные лицензии 1С, так что результат был ожидаем, вцелом, но настраивал изначально все не я, поэтому не сразу разобрался как это работает.

Изменено пользователем Anadartes
safety

safety

Опубликовано
Опубликовано
5 часов назад, Anadartes сказал:

После шифрования, кстати, появился пользователь USR1CV83, у него были разного рода подозрительные файлы, но к сожалению, я этого пользователя удалил, сейчас ничего не смогу из этого показать.

Вот это и зря.

Так как часто по данному шифровальщику именно этот профиль и используется для атаки и развертывания шифрования.

Цитата

возможно вирус все почистил после себя

т.е. вы ему помогли скрыть свои следы поглубже.

 

Проверьте ЛС.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Олег Лобанов
      Зашифровались файлы .ooo4ps
      Автор Олег Лобанов
      Здесь зашифрованный файл и письмо с требованиями под паролем
      ooo4ps.rar
      Здесь файлы Addition и FRST без пароля
      FRST.rar
      Адрес вымогателя a38261062@gmail.com
       
      До кучи еще зашифровался диск D битлокером 
    • admmaa
      Шифровальщик ooo4ps.
      Автор admmaa
      Добрый день, зашифрованы файлы внутри системного диска С и диск D зашифрован полностью битлокером. При попытке зайти на диск D просит пароль. Так же мошенники добавили файл-сообщение. Прикрепляю записку с выкупом и архив с примерами шифрованных файлов. Прошу помочь в восстановлении данных.
      FILES_ENCRYPTED.txt totalcmd.rar
    • ivanlit
      Помогите расшифровать BitLocker расширение у всех файлов ooo4ps
      Автор ivanlit
      Добрый день. Помогите, пожалуйста, все файлы и диски зашифрованы BitLocker и имеют расширение ooo4ps
      Есть новый пользователь C:\Users\USR1CV83
      и там есть файл NTUSER.DAT
    • MikeP
      Шифровальщик заразил компьютер
      Автор MikeP
      Добрый день! Шифратор заразил компьютер, скорее всего в выходные 31.01.26, заметили только сегодня. Важные файлы стали формата .ooo4ps. Файрвол виндовс был отключен. Просьба по возможности помочь с дешифровкой. Логи анализа Farbar Recovery Scan Tool,заражённые файлы и сообщение вируса во вложении
      Addition.txt FRST.txt Зараженные файлы.rar
    • qwazz
      поймал шифровальщик ooo4ps
      Автор qwazz
      Добрый день, поймал шифровальщика , файлы с разрешением ooo4ps.   тут выкладывали дешифратор. но я не могу его скачать.
      Сообщение от модератора kmscom Сообщение перенесено из темы поймал шифровальщик ooo4ps
       
×
×
  • Создать...