Перейти к содержанию

[РЕШЕНО] Прошу помощи в определении шифровальщика.

AdVv
 Поделиться

Рекомендуемые сообщения

AdVv

AdVv

Опубликовано
Опубликовано (изменено)

Доброго всем !

Случилась неприятность, через дыру в RDP, старенький Windows Server 2003 был взломан и на нем зашифрована вся информация.

После перезагрузки на экране текстовое сообщение следующего содержания
 

Your PC's data is encrypted!

If you pay 250$ by Bitcoin, soon decrypt.

address: 1BssPi5rjEE8DgJRcdRRjGikC5feGCvyPh

After Pay connect:soondecrypt@protonmail.com,allway88@bk.ru

Your ID is 192.168.0.1

enter password:

 

 

IP адрес изменен.

До загрузки операционной системы дело не доходит.

Анализ диска показал, что испорчены таблицы размещения файлов на всех дисках и подменен загрузчик.

Кrd в загрузочных областях ничего не обнаруживает.

Вопрос: как определить, что за зловред был применен и существует ли теоретическая возможность восстановления данных, у злоумышленников или без их участия.

Изменено пользователем AdVv
thyrex

thyrex

Опубликовано
Опубликовано

Сообщение появляется еще до начала загрузки системы?

  • Согласен 1
AdVv

AdVv

Опубликовано
  • Автор
Опубликовано

Сообщение появляется еще до начала загрузки системы?

 

Так точно, в текстовом режиме, загрузчиком. При подключении винта к другому компьютеру файловая система на системном разделе Windows отсутствует.

thyrex

thyrex

Опубликовано
Опубликовано

Увы, поработали како-то из легитимных утилит шифрования дисков типа DiskCryptor. Ничем помочь не представляется возможным.

AdVv

AdVv

Опубликовано
  • Автор
Опубликовано (изменено)

Увы, поработали како-то из легитимных утилит шифрования дисков типа DiskCryptor. Ничем помочь не представляется возможным.

 

По факту диск не зашифрован, просто разрушены метаданные файловой системы, файлы восстанавливаются, но по большей части без названий и структуры каталогов.

При запуске выдается форма для ввода пароля. Можно как-то выяснить, сделана она для отвода глаз, или там реально присутствует код для восстановления затертых mft ?

Изменено пользователем AdVv
thyrex

thyrex

Опубликовано
Опубликовано

Силами добровольцев на форуме, которые оказывают помощь в данном разделе, не представляется возможным это выяснить. Обращайтесь в техподдержку.

  • Согласен 2
thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Константин Нездиминов
      Зашифрованы разделы
      Автор Константин Нездиминов
      Здравствуйте! В локальную сеть организации попал шифровальщик.  Шифрует только системный раздел с установленной ОС. Загрузочный раздел и раздел восстановления не зашифрованы.
      Никаких требований выкупа нет. Есть образ частично зашифрованного диска на 256 ГБ, если понадобится(первые 70 ГБ зашифрованы, дальше процесс почему-то прервался).
      Можно ли как нибудь помочь?
      Спасибо большое!
      Сделал копию первых 2000000 секторов и последних 2000000 секторов полностью зашифрованного диска в файл виртуального диска(https://dropmefiles.com/yWfs8)
    • Konsta812
      Зашифрованные файлы с расширением 89vINnQSL
      Автор Konsta812
      Здравствуйте!
      Пожалуйста, помогите с расшифровкой файлов.
      Пользователем по невнимательности был запущен файл из письма.
      Сработал шифровальщик, после чего зашифрованные файл получили расширение 89vINnQSL
      Заранее признателен за любую помощь! 
    • Moritto
      Шифровальщик ixvB60I6b
      Автор Moritto
      Зашифровались все файлы на ноутбуке - файлы стали с расширением ixvB60I6b, а также сервер. Помогите, пожалуйста, вернуть файлы
      Addition.txt FRST.txt
    • Шиловский
      Шифровальщик; *.putin; Conti(Meow)?
      Автор Шиловский
      Добрый день.
       
      Система загружается. Файлы зашифрованы. Шифровальщик не детектируется. Во вложении логи FRST(FRST_logs.zip) и два семпла с запиской(Samples.zip).
       
      Помогите, пожалуйста.
      FRST_logs.zip Samples.zip
    • Study
      Шифровальщик M0rphine
      Автор Study
      Здравствуйте! Обращаюсь по не совсем рекомендуемой форме. Войти в систему под админом не удалось - изменена учетка администратора домена. Подключили диск к другой системе. 
      На сервере 2003 оказались зашифрованы файлы. Предположительно, было проникновение по RDP и шифровальщик запущен вручную.
      В корне C: обнаружен файл mor.exe, расширения зашифрованных файлов - .M0rphine.
      В прикрепленных файлах скрины сообщения, образец зашифрованного файла и файл HTML приложения(переименован), которое запускает сообщение (в архиве).
      Пока никакой информации по этому шифровальщику в инете не нашел.
      Надеюсь на вашу помощь. Спасибо.


      files.zip
×
×
  • Создать...