Нужна помощь. Сегодня обнаружил что на терминальном сервере вирус зашифровал файлы и самоуничтожился оставив в каждой обработанной папке файл следующего содержания:
Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .EBF
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы!
Напишите нам письмо на адрес [email protected] (если в течение суток вам не ответят то на [email protected]) чтобы узнать как получить дескриптор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-5 часов.
К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
Логи с сервера. Изучая папки пользователей обнаружил наличие файла "как_расшифровать_файлы" только в папке одного пользователя, поэтому предпологаю что заражение сервера произошло от клиенской станции в момент терминального сеанса
Нужны будут логи с рабочей станции? или того что находится во вложении достаточно
Drweb cureit обнаружил 3 угрозы на рабочей станции среди которых оказался svchost расположенный в папке с реестром - правда дата создания 14.01.2011
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ovf2008, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
svchost.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.jh как понимаю ставили не вы ?
нет, причем расположен он на компьютере не по пути c:\windows\system32\ а папке c:\windows\system32\config (там где находятся файлы реестра) да и размер значительно больше стандартого
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: