Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифрованы диски на 20 серверах в одном домене. Выводится следующее сообщение - FOR UNLOCK - CONTACT TELEGRAM @BeGood327

real_admin
 Поделиться

Рекомендуемые сообщения

real_admin

real_admin

Опубликовано
Опубликовано

Пришли с утра в офис и обнаружили, что некоторые компьютеры не включаются. Есть сервер виртуализации на котором несколько серверов - там висит сообщение - FOR UNLOCK - CONTACT TELEGRAM @BeGood327. При этом некоторые пользовательские ПК включились и работают нормально. Касперский антивирус установлен на серверах. В архиве в скриншотах прикладываю переписку с мошенниками. Зашифрованных файлов нет - зашифрованы разделы на дисках с помощью dcrypt и MeshAgent. 

Архив.zip FRST (1).txt Addition (1).txt

safety

safety

Опубликовано
Опубликовано (изменено)

Логи FRST сделаны из расшифрованной системы, или система осталась не зашифрована?

Изменено пользователем safety
real_admin

real_admin

Опубликовано
  • Автор
Опубликовано

FRST с ПК которого не успела

 

В данный момент сижу за этим ПК видимо до конца не успел зашифровать, убил процессы, в program file вот такие папки в скрине.
В домене на каких то ПК есть такие папки в program files на каких то нет.
Так же есть вот такая папка tmp
image.thumb.png.59ca2e4971c95862d50f09b1922fe20a.pngimage.thumb.png.c6534f748607ba0418565affd0164cc6.png
image.thumb.png.80d2fa37b749e1fcd1972897a3cd620e.pngimage.thumb.png.5123adfd8c180ad02d22ffa6140fa232.png

safety

safety

Опубликовано
Опубликовано

Следует удалить задачу перезагрузки системы.

Task: {357A8846-3371-4446-A23D-F4B1DB9B9126} - System32\Tasks\PUpdate => C:\WINDOWS\system32\shutdown.exe [57344 2025-11-11] (Microsoft Windows ->

 

где то в это время, и в этом месте был запуск скрипта подготовки к шифрованию

 

2026-03-06 05:44 - 2026-03-06 05:44 - 000000000 ____D C:\Program Files\dcrypt
2026-03-06 05:44 - 2014-07-09 10:42 - 000210632 _____ C:\WINDOWS\system32\Drivers\dcrypt.sys
2026-03-06 05:43 - 2026-03-06 05:43 - 000000000 ____D C:\Program Files\Mesh Agent
2026-03-06 05:42 - 2026-03-06 05:38 - 000000000 ____D C:\tmp

 

Проверьте в C:\tmp что осталось, в том числе и среди удаленных файлов.

 

Возможно что диск зашифрован, но не было еще перезагрузки системы? Проверили?

 

safety

safety

Опубликовано
Опубликовано (изменено)
12 минут назад, real_admin сказал:

Так же есть вот такая папка tmp

да, это стандартный набор: установщик meshagent, установщик dcrypt, clear - очистка журналов.

скорее всего, если процесс шифрования был начат, значит часть диска уже зашифрована, и при перезагрузке системы, зашифрованная часть диска будет недоступна. А возможно что и загрузчик заблокирует доступ к диску.

т.е. надо будет удалить бутлоадер через меню из программы dcrypt! Если он добавлен уже.

 

Стоит  сделать полный дамп памяти, возможно в дампе найдется пароль шифрования.

Изменено пользователем safety
real_admin

real_admin

Опубликовано
  • Автор
Опубликовано

По данному пути нашли ключ расшифровки от этого ПК
WS000181 
192.168.2.115 
i4h99iroi38t399n9 

image.thumb.png.bea937dca1a404b167d21b900bb1db07.png

safety

safety

Опубликовано
Опубликовано (изменено)

Вот хорошо бы еще найти скрипт, который был запущен для формирования данного пароля.

те. после того как скрипт отработал, и пароль был задействован в dcrypt, данная запись "улетает" злоумышленникам.

---------

+ проверьте ЛС.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

обратите внимание что активность этой группы возросла с начала 2026 года.

 

image.png

 

 

По сути это все что можно было сделать с нашей стороны, со стороны консультантов форума.

 

Далее уже вам решать как поступить - прямо пойти, налево, или направо.

Прямо пойти - значит восстанавливать данные из бэкапов, если хотя бы старые сохранились, улучшить безопасность, защититься от новых атак.

Налево пойти - значит оплачивать пароли доступа злоумышленникам,

Направо пойти - значить оплачивать услуги поиска и восстановления информации антивирусным компаниям или киберагентствам, без гарантии, что они смогут по данной информации получить пароли доступа.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • SergeyGMS
      Шифровальщик @BeGood327 diskcryptor
      Автор SergeyGMS
      Здравствуйте. Столкнулся с ситуацией, когда все серверы и рабочие станции в доменной сети были зашифрованы. Некоторые серверы работают и не были зашифрованы, но на них нет того, что мне нужно. При загрузке системы появляется сообщение FOR UNLOCK - CONTACT TELEGRAMM @BeGood327.
       
    • Александр Нефёдов
      Зашифрованы компьютеры в локальной сети. вымогатель DCHELP.ORG
      Автор Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • Инфлюенсер
      Данные зашифрованные с помощью diskCriptor
      Автор Инфлюенсер
      Добрый день, произошел взлом системы. Пострадали пк и сервера, злоумышленник зашифровал данные. Так же попросил выкуп. для теста дал пароль от одного из дисков с помощью которого удалось расшифровать диск с которого собраны логи по запросу, в данный момент диски заблокированы. Требуется ли с помощью программы R.Saver   попытаться вытащить какиет-о файлы, так как в настоящий момент  диски являются роу
      Addition.txtFRST.txt
    • RuslanSaetov
      Server locked, файловая система raw
      Автор RuslanSaetov
      Здравствуйте! Одним прекрасным днем компьютер выдает сообщение SERVER LOCKED Contact by email: dhelp@mailfence.com or Telegram @Dchelp.
      При подключении диска к другому компу, диск C отображает файловую систему raw и просит отформатировать. Программой GetDataBack 5 нашел файловую систему и сами файлы. Большинство файлов открываются нормально, но кроме тяжелых 30Gb+. Сами файлы с виду не зашифрованы. Нужны базы SQL.
      В папке tmp нашел исполняемые файлы. Можно ли с этими данными как-то наладить MFT?
      пароль на архив virus 

      DHELP.zip
    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

×
×
  • Создать...