Перейти к содержанию

Шифровальщик @BeGood327

Вадим22222

Автор Вадим22222
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Вадим22222

Вадим22222

Опубликовано
Опубликовано

Сервера и рабочие станции зашифрованы, выдает окно с предложением обратится в телеграмм@BeGood327

safety

safety

Опубликовано
Опубликовано

Остались в локальной сети устройства, которые не были зашифрованы? Есть ли на этих устройствах признаки подготовки устройства к шифрованию? Например  установленный Dcrypt.

Вадим22222

Вадим22222

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:

Остались в локальной сети устройства, которые не были зашифрованы? Есть ли на этих устройствах признаки подготовки устройства к шифрованию? Например  установленный Dcrypt.

Есть компьютер который находится в домене, на нем обнаружена программа diskcryptor Установленная сегодня. мы ее не устанавливали

 

safety

safety

Опубликовано
Опубликовано

В папке C:\TMP проверьте что есть:

2026-03-02 00:34 - 2026-03-02 00:34 - 000000000 ____D C:\Program Files\dcrypt
2026-03-02 00:34 - 2014-07-09 10:42 - 000210632 _____ C:\Windows\system32\Drivers\dcrypt.sys
2026-03-02 00:33 - 2026-03-02 00:33 - 000000000 ____D C:\tmp
 

Вадим22222

Вадим22222

Опубликовано
  • Автор
Опубликовано

в папке C:\tmp содержаться только файлы > Clear.bat  notepad.exe Notepad-I.bat

safety

safety

Опубликовано
Опубликовано

Notepad.exe это скорее всего установщик Dcrypt, Notepad-1.bat - скрипт запуска установки.

Добавьте Clear.bat в архив без пароля, проверю.

пробуйте в этой программе запустить восстановление удаленных файлов

R.saver – бесплатная программа для восстановления данных

Само действие восстановления можно пока не выполнять, просто проверьте есть ли удаленные файлы в папке C:\TMP

safety

safety

Опубликовано
Опубликовано

В clear - очистка журналов

Цитата

echo Event Logs have been cleared!

Что-нибудь нашли среди удаленных в c:\tmp?

+

для доп. информации проверьте ЛС

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • real_admin
      Зашифрованы диски на 20 серверах в одном домене. Выводится следующее сообщение - FOR UNLOCK - CONTACT TELEGRAM @BeGood327
      Автор real_admin
      Пришли с утра в офис и обнаружили, что некоторые компьютеры не включаются. Есть сервер виртуализации на котором несколько серверов - там висит сообщение - FOR UNLOCK - CONTACT TELEGRAM @BeGood327. При этом некоторые пользовательские ПК включились и работают нормально. Касперский антивирус установлен на серверах. В архиве в скриншотах прикладываю переписку с мошенниками. Зашифрованных файлов нет - зашифрованы разделы на дисках с помощью dcrypt и MeshAgent. 
      Архив.zip FRST (1).txt Addition (1).txt
    • itvasily
      Шифровальщик @BeGood327.
      Автор itvasily
      Всем доброго времени суток! Зашифровали все диски на сервере, помогите пожалуйста расшифровать. Такая ситуация, ранее диски на сервере шифровали программой VeraCrypt, и всё прекрасно заходилось под нашим паролем. Сеть доменная. В настоящее время злоумышленник через RDP подобрал пароль к серверу через программу подбора AccountRestore2, которую оставил как след, и поменял пароль на дисках. Оставили послание: FOR UNLOCK - CONTACT TELEGRAM @BeGood327 ENTER PASSWORD: 
      Сканирование логов прикрепляю во вложении, дополнительную информацию отпишу в ЛС.
      Addition.txt FRST.txt
    • Буп
      Шифровальщик @BeGood327
      Автор Буп
      Зашифровали данные у всех компьютеров и серверов, что были в сети. Доступа к файлами нет, диски зашифрованы. Сервера весят на "востоновление загрузки" и несколько на запросе пароля с сообщением:
      FOR UNLOCK - CONTACT TELEGRAMM @BeGood327
    • Гончаров Максим
      Зашифровали диски
      Автор Гончаров Максим
      Добрый день. У меня такая же проблема, 4 компа уже не запускаются но есть еще те где смогу вытащить исполняемые файлы. Прошу помогите. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      Зашифрованы компьютеры в локальной сети. вымогатель DCHELP.ORG
      Автор Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

×
×
  • Создать...