Перейти к содержанию

Шифровальщик .ooo4ps

Ivan_S
 Поделиться

Рекомендуемые сообщения

Ivan_S

Ivan_S

Опубликовано
Опубликовано (изменено)

Добрый день. Пойммали вирус-шифровальщик на сервер. выяснили что все действия проводились через пользователя под которым крутилась 1с, однако была создана его копия, в которой хранится файл DiskCryptor. Ниже прикрепляю файл логов, а так же пара зашифрованных файлов вместе с архивом вируса

 

Files.rar FRST.txt virus.rar

Изменено пользователем Ivan_S
safety

safety

Опубликовано
Опубликовано (изменено)

Только одно устройство зашифровано? Дополнительные диски зашифрованы? можете показать на скрине, что происходит при попытке открыть зашифрованный дополнительный диск?

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Не понял ваш ответ.

Дополнительные локальные диски зашифрованы или нет? Открываются или нет?

Изменено пользователем safety
Ivan_S

Ivan_S

Опубликовано
  • Автор
Опубликовано (изменено)

Все диски на нашем сервере зашифрованы (кроме системного)

 

Изменено пользователем Ivan_S
safety

safety

Опубликовано
Опубликовано (изменено)

Что происходит, если вы пытаетесь открыть зашифрованный диск? Запрашивает пароль? или предлагает использовать приложение для открытия?

Изменено пользователем safety
Ivan_S

Ivan_S

Опубликовано
  • Автор
Опубликовано

Винда говорит что не значет чем открывать этот файл, и прдлагает выбрать проограмму для запуска (Второй скриншот из моего ответа выше)

safety

safety

Опубликовано
Опубликовано (изменено)

А если вы выбираете 1cestart запускается DiskCryptor?

Цитата

однако была создана его копия, в которой хранится файл DiskCryptor

Это поясните, что означает

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано
Цитата

однако была создана его копия, в которой хранится файл DiskCryptor

Это поясните, что означает

Ivan_S

Ivan_S

Опубликовано
  • Автор
Опубликовано

На профиле USR1C83 при открытии программы diskcryptor видим эту картину 

image.png

safety

safety

Опубликовано
Опубликовано

Для доп. анализа проверьте, пожалуйста, ЛС

Ivan_S

Ivan_S

Опубликовано
  • Автор
Опубликовано

У нас был пользователь USR1CV8, под ним работает 1с в фоне. После заражения в папке со всеми пользователсями появися точно такой же пользователь но с цифрой 3 на конце

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • MyKasper
      DiskCryptor на сервере
      Автор MyKasper
      После выходных получили такое на нашем сервере. Кто сталкивался, нужна помощь.
            К Вашему серверу был получен доступ в связи с непрофессиональной настройкой безопасности.   Диски сервера шифрованы программой DiskCryptor C:\Program Files\dcrypt   Описание программы: http://ru.wikipedia....iki/DiskCryptor   Официальный сайт программы: https://diskcryptor.net/wiki/Main_Page   Для расшифровки дисков требуется пароль, обратиться за паролем Вы можете, написав на электронный адрес: mmkn@protonmail.com   В письме укажите свой ip адрес: 91.*.*.*   Некоторые данные с системного диска С перенесены на шифрованный диск. Некоторые сервера зашифрованы включая системные диски (где есть большие объемы информации), там пароль вводим до загрузки операционной системы.   Внимание! Если Вы планируете получить пароль, НЕ форматируйте диски с шифрованными разделами. В случае форматирования дисков, их расшифровка будет НЕ возможна.   Как расшифровать диск и восстановить работоспособность сервера? Запускаете программу DiskCryptor  Выбираете зашифрованный диск  Нажимаете Mount Программа запрашивает пароль, это значит, что DiskCryptor видит свой шифрованный диск и готов с ним работать Вводите пароль Диск монтируется и всем пользователем уже можно с ним работать Далее нажимаете Decrypt и расшифровываете диск После этого программу можно удалить.   Windows Server 2012 R2 Standart.   CollectionLog-2017.05.02-16.20.zip
    • Олег Лобанов
      Зашифровались файлы .ooo4ps
      Автор Олег Лобанов
      Здесь зашифрованный файл и письмо с требованиями под паролем
      ooo4ps.rar
      Здесь файлы Addition и FRST без пароля
      FRST.rar
      Адрес вымогателя a38261062@gmail.com
       
      До кучи еще зашифровался диск D битлокером 
    • admmaa
      Шифровальщик ooo4ps.
      Автор admmaa
      Добрый день, зашифрованы файлы внутри системного диска С и диск D зашифрован полностью битлокером. При попытке зайти на диск D просит пароль. Так же мошенники добавили файл-сообщение. Прикрепляю записку с выкупом и архив с примерами шифрованных файлов. Прошу помочь в восстановлении данных.
      FILES_ENCRYPTED.txt totalcmd.rar
    • ivanlit
      Помогите расшифровать BitLocker расширение у всех файлов ooo4ps
      Автор ivanlit
      Добрый день. Помогите, пожалуйста, все файлы и диски зашифрованы BitLocker и имеют расширение ooo4ps
      Есть новый пользователь C:\Users\USR1CV83
      и там есть файл NTUSER.DAT
    • MikeP
      Шифровальщик заразил компьютер
      Автор MikeP
      Добрый день! Шифратор заразил компьютер, скорее всего в выходные 31.01.26, заметили только сегодня. Важные файлы стали формата .ooo4ps. Файрвол виндовс был отключен. Просьба по возможности помочь с дешифровкой. Логи анализа Farbar Recovery Scan Tool,заражённые файлы и сообщение вируса во вложении
      Addition.txt FRST.txt Зараженные файлы.rar
×
×
  • Создать...