Взломщик зашифровал разделы программой DiskCryptor и требует денег
Здравствуйте! Сперва предыстория ситуации:
Купили в январе этого года свежий комп в компанию под "сервер" (Core i5 - 4570, 8Gb DDR3, 120 SSD + 1Tb HDD) под задачи файловой помойки и сервера терминалов 1С (удаленно бухгалтер подключается и два пользователя из удаленного офиса). Поставил Win2k8 R2 Standart х64, накатил обновления, домена нет. Пользователей локальных создал, админы мой пользователь и Администратор, от своего пароль нигде не записан, от админа на бумажке с остальными отдал человеку. Раскидал права на папку с документами, отдельно папка с базами 1С, 1С настроил через RemoteApp. Бухгалтер работала через полный удаленный рабочий стол. Антивирус Symantec Endpoint Protection 12.1.3.
7 марта в час дня звонят - не могут зайти в сетевую папку. Посоветовал проверить сеть, перезагрузить. Перезвонили не помогло. Посоветовал подцепить монитор и посмотреть что происходит. При входе открылся блокнот раз двадцать с содержанием:
"[COLOR=#000000][FONT=Arial]"Ваши диски зашифрованны программой DiskCryptor.[/FONT][/COLOR]
[COLOR=#000000][FONT=Arial]Сама программа находится в папке Program Files\dcrypt на диске С.[/FONT][/COLOR]
[COLOR=#000000][FONT=Arial]Для расшифровки требуется пароль.[/FONT][/COLOR]
[COLOR=#000000][FONT=Arial]За паролем Вы можете обратиться к нам, написав на электронный ящик [/FONT][/COLOR][EMAIL="[email protected]"][email protected][/EMAIL]
[COLOR=#000000][FONT=Arial]В письме укажите номер Вашего сервера 8744"
Второй раздел (отдельный жесткий диск 1Тб с базой 1С, всеми документами) висит в формате RAW, соответственно винда предлагает форматировать.
Обнаружил следующее:
1. Новый пользователь usr с правами админа - я не создавал
2. 6.03.14 установлен какой-то покер - я не ставил
3. 27.02.14 установленBONIC клиент (нашел информацию [/FONT][/COLOR]http://ru.wikipedia.org/wiki/BOINC) - я не ставил
[COLOR=#000000][FONT=Arial]4. 07.03.14 установлена [/FONT][/COLOR][COLOR=#000000][FONT=Arial]DiskCryptor (при запуске которой можно выбрать раздел, нажать Mounting и просит пароль) - откуда взялось вопрос
5. В папке пользователя usr на рабочем столе скрипт "2" (позже могу выложить), 20 файлов блокнота с текстом приведенным выше, программа для чистки логов (от Хакер что-то там... точнее могу тоже выложить)
6. В логах безопасности последние записи как раз от 07.03.14 что пользователь usr вышел ну и там выходили входили удаленно другие уже.
что забавно при отправки обращения за паролем на указанное мыло пришел автоовет:
от Александр Иванов
"[/FONT][/COLOR][COLOR=#000000][FONT=Arial]Это автоответчик.[/FONT][/COLOR]
[COLOR=#000000][FONT=Arial]Вы обратились к нам в нерабочее время.[/FONT][/COLOR]
[COLOR=#000000][FONT=Arial]Мы работаем с 9 до 18 часов по московскому времени.[/FONT][/COLOR]
[COLOR=#000000][FONT=Arial]Суббота, воскресение - выходной.[/FONT][/COLOR]
[COLOR=#000000][FONT=Arial]Ваша заявка будет обработана в рабочее время."
У них все серьезно, даже рабочее время и выходные... наверное даже дресскод..
Антивирус выл отключен при моем уже осмотре, просканировал, включив Symantec, через CureIT (Ничего не обнаружил), AVZ (какие-то строчки красные были =) ). С логами какими надо могу заново просканировать. Времени на полное шифрование всего диска скорее всего небыло, но не факт.
[/FONT][/COLOR][COLOR=#000000][FONT=Arial]Посмотрел информацию в сети, посоветовали жесткий прогнать через R-Studio, программы файлы видит но имена все убиты, структура папок и по количеству и содержанию файлов не факт что там все и то будет если восстанавливать так... короче головняк.
[/FONT][/COLOR][COLOR=#000000][FONT=Arial]
[/FONT][/COLOR][COLOR=#000000][FONT=Arial]Еще всех не опросили кто что делал в это время, т.к. сейчас праздники и не до всех дозвониться, но те кто был в офисе говорят "никто ничего, пароли админа не давали, ничего не устанавливали"[/FONT][/COLOR]
[COLOR=#000000][FONT=Arial]Можете ли посоветовать что делать в такой ситуации? Разобраться как так получилось, чтоб больше не получалось. Архивы недельной давности вроде как есть, но конкретно чего и сколько надо еще смотреть. Заранее спасибо![/FONT][/COLOR]
