salted2020 Зашифровали diskcryptor

4 мая

неДобрый день. Поймали непонятным образом вирус,который зашифровал через diskcryptor.

To recover your data, contact us: rdata@onionmail.org

The lowest price is valid only on the first day.

расширение .rdata

4 мая

Одно устройство в сети пострадало или несколько? Диски все на устройстве зашифрованы или только дополнительные?

4 мая

дополнительные диски зашифрованные.данные на основном диске зашифрованы(сам диск нет)

4 мая

т.е. системный раздел не зашифрован, зашифрованы только доп. разделы и диски. А шифрования файлов нет на системном диске, например, с расширением ooo4ps? Так понимаю, под шифрование DD попало только одно устройство?

Изменено 4 мая пользователем safety

4 мая

1 устройтсво. Файлы зашифрованы с расширением .rdata

4 мая

Можете собрать логи FRST на системном разделе?

5 мая

Addition.txt FRST.txt

5 мая

Добавьте несколько зашифрованных файлов + записку (в виде файла с оригинальным именем) о выкупе в архиве, без пароля.

------------

судя по логу FRST

активность злоумышленников была:

2026-04-30 06:10 - 2026-04-30 06:10 - 000000000 ____D C:\Program Files\dcrypt
после шифрования дисков, дополнительно зашифрованы файлы на системном диске

2026-05-01 04:20 - 2026-05-01 04:20 - 000003296 _____ C:\Users\***\Desktop\1Cv8_blank.dt.rdata

по времени прошло около суток.

Пробуйте выполнить поиск исполняемых файлов, скриптов на системном диске, созданных 29.04 - 01.05

Изменено 5 мая пользователем safety

5 мая

запаковал в архив

Новая папка (19).zip

5 мая

Судя по маркеру вначале зашифрованного файла, это модифицированный вариант Salted2020

Предыдущий вариант шифровал с *ooo4ps, а дополнительные диски шифровали либо Bitlocker, либо DiskCryptor

Для доп. анализа проверьте ЛС.

7 мая

Общие рекомендации:

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

salted2020 Зашифровали diskcryptor

Рекомендуемые сообщения

Zsv89

safety

Zsv89

safety

Zsv89

safety

Zsv89

safety

Zsv89

safety

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum