Базы данных в ZIP архивах с паролями

Упустили момент, судя по всему кто-то по ночам удаленно подключался к серверу 1C на Win Server 2008 R2 x64 (так же на нем крутится старенький Comtec For Business). Очнулись, когда все файлы баз данных MSSQL 2008 R2 и старенького ASA9 (не считая папок общего доступа на другом сервере), были помещены в .rar архивы с паролями. В корнях папок созданы текстовые файлы следующего содержания:
"
Внимание! Ваши базы данных заархивированы с паролем, использование их невозможно.
Для получения пароля к архиву от вас требуется оплата 13000р на Яндекс деньги.


При согласии напишите на почту [email][email protected][/email]

".

Далее все встало, BruteForce в условиях аппаратных возможностей нашей организации естественно невозможен, логи во вложениях (я так понял, что для серверных ОС необходимо 2 лога?) и ссылка на яндекс диск с самым маленьким архивом (другие ~5GB): [url]http://yadi.sk/d/Js1U5OKzRJF5B[/url]. Помогите, пожалуйста, чем сможете.

P.S.
На сервере (входит в домен) была создана локальная учетная запись, которую мы не создавали. В папке рабочего стола созданы несколько папок с разнообразными программами-помощниками в этом черном деле (если надо приведу скрины, списки) типа VNC scanner, File shredder и т.д.

Уважаемый(ая) [B]BadTeddy[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[CODE]begin
QuarantineFile('C:\Users\odmin.VOZRTD\WINDOWS\svchost.com','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Service');
DeleteFile('C:\Users\odmin.VOZRTD\WINDOWS\svchost.com','32');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExitAVZ;
end.[/CODE]Программа закроется, в папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url], только программу скачайте [URL="http://yadi.sk/d/nRJyhDgrJNAGr"]отсюда[/URL].

По возврату баз. Брутфорс пароля RAR более-менее приличной длины (более 7-8 символов, обычно вымогатели-шифровальщики используют 10-15 минимум) нереален. "Сисадмины делятся на тех, кто не делает бэкапы и тех кто уже делает." (С) народная сисадминская мудрость. Если резервных копий не делалось - оштрафуйте себя на 13 тыр., выкупите пароль за свои деньги :> По-хорошему надо обращаться в полицию, тем более, что требуют перечислить на Я.Д, это российская юрисдикция, можно и отследить, и заблокировать счёт. Но быстро и без санкции суда у нас только сайты блокируют, так что надежды на юридически правильный путь решения проблемы не очень много. Попробуйте написать в поддержку Яндекс.Деньги - возможно, войдут в положение.

Если включено восстановление системы и есть точки восстановления до шифрования - можно поискать на вкладках "Предыдущие версии" в свойствах папок, но пройдёт, если только вымогатель идиот, и, орудуя на сервере, не удалил точки восстановления. Программы восстановления стёртых файлов иногда помогают, но с учётом того, что использовали File shredder - это, наверняка, не Ваш вариант.

Меры против последующего взлома надо принять как организационные, так и технические.

1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.

2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.

2. Различные SQL серверы - также менять пароли, проверять, последняя ли версия установлена. Взлом через дыры SQL-сервера - классика жанра.

3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

4. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

Скопируйте всё содержимое страницы [url]http://dataforce.ru/~kad/ScanVuln.txt[/url] в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.