Тем у кого "Ваши диски зашифрованны программой DiskCryptor"
Вчера принесли диск на восстановление у которого пропал раздел.
Оказалось раздел с данными не пропал, но ОС просит его отформатировать.
На первом разделе размещена ОС, а в корне диска около 100 файлов с таким содержанием:
[QUOTE]Ваши диски зашифрованны программой DiskCryptor.
Сама программа находится в C:\Program Files\dcrypt\
Для расшифровки требуется пароль.
За паролем Вы можете обратиться к нам, написав на электронный ящик [email][email protected][/email]
В письме укажите номер Вашего сервера XXXX
Мы ответим Вам в течении часа.
[/QUOTE]
Просканировал диск антивирусом. Нашлось около 15 разных вирусов. Админ видимо не особо старался защитить свой сервер.
К слову, на сервере не был установлен антивирус. Видимо в угоду производительности.
В папке distr на первом разделе обнаружил дистрибутив DiskCryptor и скрипт запускающий шифрование раздела и очистку логов после завершения.
Запустил R-Studio. После сканирования оказалось данные все на месте. Видимо диск зашифрован не полностью (процесс длительный). Удалось восстановить все данные.
Вывод: Злоумышленник с помощью трояна получил доступ к серверу и выполнил шифрование раздела.
