Шифровальщик зашифровал на уровне разделов

[hiveliberty]

Доброго дня,
Коллеги столкнулись вчера с интересным шифровальщиком

Windows Server 2022
Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
Пробовал отправлять куски через Virustotal - ни одного срабатывания.
Пока прикреплять не стал, согласно правилам)

Доступа к диску, естественно, нет и файлы никакие не получить.
Доступен только диск загрузчика и Recovery

По большому счёту интересно, можно ли с этим что-то делать.
И в целом, новое что-то?

Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
Те спросили имя домена, серверов или их айпишники.
По имени домена предоставили список файлов с паролями, скрин.

[hiveliberty]

Elcomsoft Forensic Disk Decryptor определил TrueCrypt/VeraCrypt

[safety]

Если у EFDD заявлены функции:

• Расшифровка томов BitLocker (в том числе To Go), FileVault 2, PGP Disk, TrueCrypt и VeraCrypt
• Мгновенное извлечение метаданных шифрования для восстановления текстового пароля к зашифрованным дискам TrueCrypt, VeraCrypt, BitLocker, FileVault, PGP Disk и LUKS/LUKS2, дискам и контейнерам Jetico BestCrypt

то можете и проверить, сможет восстановить пароль к зашифрованным томам или нет.

 

[hiveliberty]

Elcomsoft Forensic Disk Decryptor - не умеет
А вот в составе с Elcomsoft Distributed Password Recovery может.
Извлекаются данные из шифрованного раздела и через Elcomsoft Distributed Password Recovery производится брут форс атака, например.
Вот только нюанс в том, что нужно не мало так мощностей вычислительных, чтобы пароли брутфорсить до 32 символов, хотя бы. Кто его знает, какую длину пароля юзают эти мошенники.

p.s. Мошенники слили, кстати, какой софт юзали - diskcryptor

Изменено 12 июня пользователем hiveliberty

[Sandor]

@Aleksandr_vinnik, правилами вам не разрешено отвечать (писать) в чужих темах этого раздела.

[safety]

1 час назад, hiveliberty сказал:

p.s. Мошенники слили, кстати, какой софт юзали - diskcryptor

Проверьте ЛС.

[alexchernobylov]

Добрый день. словил такую же дрянь. подскажите, пожалуйста, можно ли восстановить данные? тот же @BeGood327

[safety]

3 часа назад, alexchernobylov сказал:

подскажите, пожалуйста, можно ли восстановить данные? тот же @BeGood327

Создайте отдельную тему в данном разделе, не пишите в чужой теме.