Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

неДобрый день. Поймали непонятным образом вирус,который зашифровал через diskcryptor.

 

To recover your data, contact us: rdata@onionmail.org

The lowest price is valid only on the first day.

 

расширение .rdata

image.thumb.png.aab63b399a35fb9c20637c9f3f4af993.png

 

 

Опубликовано

Одно устройство в сети пострадало или несколько? Диски все на устройстве зашифрованы или только дополнительные?

Опубликовано

дополнительные диски зашифрованные.данные на основном диске зашифрованы(сам диск нет)

Опубликовано (изменено)

т.е. системный раздел не зашифрован, зашифрованы только доп. разделы и диски. А шифрования файлов нет на системном диске, например, с расширением ooo4ps? Так понимаю, под шифрование DD попало только одно устройство?

Изменено пользователем safety
Опубликовано

1 устройтсво. Файлы зашифрованы с расширением .rdata

Опубликовано (изменено)

Добавьте несколько зашифрованных файлов + записку (в виде файла с оригинальным именем) о выкупе в архиве, без пароля.

------------

судя по логу FRST

активность злоумышленников была:

2026-04-30 06:10 - 2026-04-30 06:10 - 000000000 ____D C:\Program Files\dcrypt
после шифрования дисков, дополнительно зашифрованы файлы на системном диске

2026-05-01 04:20 - 2026-05-01 04:20 - 000003296 _____ C:\Users\***\Desktop\1Cv8_blank.dt.rdata

по времени прошло около суток.

 

Пробуйте выполнить поиск исполняемых файлов, скриптов на системном диске, созданных 29.04 - 01.05
 

Изменено пользователем safety
Опубликовано

Судя по маркеру вначале зашифрованного файла, это модифицированный вариант Salted2020

 

image.png


Предыдущий вариант шифровал с *ooo4ps, а дополнительные диски шифровали либо Bitlocker, либо DiskCryptor

 

Для доп. анализа проверьте ЛС.

Опубликовано

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • VladOS36
      Автор VladOS36
      Добрый день! столкнулись с проблемой, 2 сервера заразились,, на рабочем столе также был текстовый документ в котором было письмо:
      To recover your data, contact us: rdata@onionmail.org Use only Google mail to contact us! The lowest price is valid only on the first day.
       
      virus.rar
    • XiPyPg
      Автор XiPyPg
      Поймали шивропальщика rdata зашифровал файлы, и папку data от pg загнал в рар архив под пароль.

      Архив слить не могу 15 гб. Может можно как-то его открыть, файлы с расширением rdata тоже не могу добавить в прикрепленные.
      README.txt
      пример зашифрованного файла
    • VasilyNNN
      Автор VasilyNNN
      Поймали шифровальщика, который зашифровал все диски и флешки подключенные к серверу через 
       
      diskcryptor, сам системный диск зашифровали файлы openssl и во все пользовательлские директории закинули файл README  с содержанием To recover your data, contact us: rdata@onionmail.org The lowest price is valid only on the first day.
    • Александр Олейников
      Автор Александр Олейников
      Добрый день. Утром получил сообщение на рабочем столе
      To recover your data, contact us: rdata@onionmail.org
      Use only Google mail to contact us!
      The lowest price is valid only on the first day.
      Все разделы кроме С стали RAW
    • bagr
      Автор bagr
      На удаленном рабочем сервере зашифровались данные и диски, зашифрованные файлы достать не удалось. После шифрования все файлы получили доп расширение .rdata а диски кроме основного на котором стоит ОС зашифрованы BitLocker
      В корне каждого пользователя лежат файлы NTUSER.DAT и несколько похожих файлов скриншот прилагаю в архиве так как не удалось данные файлы заархивировать.
      В каждом каталоге Readme.txt с сообщением злоумышленника
       
      Просканил FRST. Логи вместе с файлом readme.txt прилагаю в архиве

      FRST.rar
×
×
  • Создать...