Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифровали диски кроме основного

Александр Олейников

Автор Александр Олейников
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Александр Олейников

Александр Олейников

Опубликовано
Опубликовано

Добрый день. Утром получил сообщение на рабочем столе

To recover your data, contact us: rdata@onionmail.org

Use only Google mail to contact us!

The lowest price is valid only on the first day.

Все разделы кроме С стали RAW

safety

safety

Опубликовано
Опубликовано

Добавьте несколько зашифрованных файлов с расширением *rdata, записку о выкупе + логи FRST из зашифрованной системы.

Александр Олейников

Александр Олейников

Опубликовано
  • Автор
Опубликовано

Тут нет файлов

Просто все диски перешли в формат RAW.

При попытке открытия предлагает форматировать

safety

safety

Опубликовано
Опубликовано (изменено)

Системный C у вас не зашифрован,вот с него и надо сделать логи FRST, найти записку о выкупе, и добавить пару зашифрованных файлов с расширением *.rdata

+

Для анализа состояния дисков используйте бесплатную утилиту от Emsisoft - Elcomsoft Encrypted Disk Hunter (EEDH) (https://www.elcomsoft.com/download/eedh.zip)
Утилита покажет статус системного диска,  и статус других разделов устройства.

Добавьте в ваше сообщение полученный лог

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

+

Для анализа состояния дисков используйте бесплатную утилиту от Emsisoft - Elcomsoft Encrypted Disk Hunter (EEDH) (https://www.elcomsoft.com/download/eedh.zip)
Утилита покажет статус системного диска,  и статус других разделов устройства.

Добавьте в ваше сообщение полученный лог

safety

safety

Опубликовано
Опубликовано

Да, есть по логам перечисление зашифрованных дисков и разделов, хотя указывается почему что не DisrCryptor

    Encryption: TrueCrypt/VeraCrypt

 

Для поп. анализа проверьте ЛС.

safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • VladOS36
      Шифровальщик на 2 сервера
      Автор VladOS36
      Добрый день! столкнулись с проблемой, 2 сервера заразились,, на рабочем столе также был текстовый документ в котором было письмо:
      To recover your data, contact us: rdata@onionmail.org Use only Google mail to contact us! The lowest price is valid only on the first day.
       
      virus.rar
    • XiPyPg
      Поймали шифровальщик
      Автор XiPyPg
      Поймали шивропальщика rdata зашифровал файлы, и папку data от pg загнал в рар архив под пароль.

      Архив слить не могу 15 гб. Может можно как-то его открыть, файлы с расширением rdata тоже не могу добавить в прикрепленные.
      README.txt
      пример зашифрованного файла
    • VasilyNNN
      Шифровальщик
      Автор VasilyNNN
      Поймали шифровальщика, который зашифровал все диски и флешки подключенные к серверу через 
       
      diskcryptor, сам системный диск зашифровали файлы openssl и во все пользовательлские директории закинули файл README  с содержанием To recover your data, contact us: rdata@onionmail.org The lowest price is valid only on the first day.
    • bagr
      Зашифровались диски кроме системного
      Автор bagr
      На удаленном рабочем сервере зашифровались данные и диски, зашифрованные файлы достать не удалось. После шифрования все файлы получили доп расширение .rdata а диски кроме основного на котором стоит ОС зашифрованы BitLocker
      В корне каждого пользователя лежат файлы NTUSER.DAT и несколько похожих файлов скриншот прилагаю в архиве так как не удалось данные файлы заархивировать.
      В каждом каталоге Readme.txt с сообщением злоумышленника
       
      Просканил FRST. Логи вместе с файлом readme.txt прилагаю в архиве

      FRST.rar
    • Вадим161
      поймали rdata, диски в RAW
      Автор Вадим161
      Добрый день! Злоумышленники попали на сервер, зашифровали часть файлов добавив .rdata.
      Диски в RAW.
      KES 12.11 версии вроде стоял, удален.
      Сообщение оставили с таким содержанием: 
      To recover your data, contact us: rdata@onionmail.org
      Use only Google mail to contact us!
      The lowest price is valid only on the first day.
      Что предпринять? Пробовал восстановить том с помощью AOMEI Partition Assistant Server - без успешно.
      Во пример шифрованного файла и сообщение.
      Downloads.zip
      FRST.txt
×
×
  • Создать...