Взломщик зашифровал разделы программой DiskCryptor и требует денег

[CrazyDeMoN16]

Здравствуйте! Сперва предыстория ситуации:
Купили в январе этого года свежий комп в компанию под "сервер" (Core i5 - 4570, 8Gb DDR3, 120 SSD + 1Tb HDD) под задачи файловой помойки и сервера терминалов 1С (удаленно бухгалтер подключается и два пользователя из удаленного офиса). Поставил Win2k8 R2 Standart х64, накатил обновления, домена нет. Пользователей локальных создал, админы мой пользователь и Администратор, от своего пароль нигде не записан, от админа на бумажке с остальными отдал человеку. Раскидал права на папку с документами, отдельно папка с базами 1С, 1С настроил через RemoteApp. Бухгалтер работала через полный удаленный рабочий стол. Антивирус Symantec Endpoint Protection 12.1.3.
7 марта в час дня звонят - не могут зайти в сетевую папку. Посоветовал проверить сеть, перезагрузить. Перезвонили не помогло. Посоветовал подцепить монитор и посмотреть что происходит. При входе открылся блокнот раз двадцать с содержанием:

""Ваши диски зашифрованны программой DiskCryptor.
Сама программа находится в папке Program Files\dcrypt на диске С.
Для расшифровки требуется пароль.
За паролем Вы можете обратиться к нам, написав на электронный ящик [email protected]
В письме укажите номер Вашего сервера 8744"

Второй раздел (отдельный жесткий диск 1Тб с базой 1С, всеми документами) висит в формате RAW, соответственно винда предлагает форматировать.

Обнаружил следующее:
1. Новый пользователь usr с правами админа - я не создавал
2. 6.03.14 установлен какой-то покер - я не ставил
3. 27.02.14 установленBONIC клиент (нашел информацию http://ru.wikipedia.org/wiki/BOINC) - я не ставил
4. 07.03.14 установлена DiskCryptor (при запуске которой можно выбрать раздел, нажать Mounting и просит пароль) - откуда взялось вопрос
5. В папке пользователя usr на рабочем столе скрипт "2" (позже могу выложить), 20 файлов блокнота с текстом приведенным выше, программа для чистки логов (от Хакер что-то там... точнее могу тоже выложить)
6. В логах безопасности последние записи как раз от 07.03.14 что пользователь usr вышел ну и там выходили входили удаленно другие уже.

что забавно при отправки обращения за паролем на указанное мыло пришел автоовет:
от Александр Иванов
"Это автоответчик.
Вы обратились к нам в нерабочее время.
Мы работаем с 9 до 18 часов по московскому времени.
Суббота, воскресение - выходной.
Ваша заявка будет обработана в рабочее время."

У них все серьезно, даже рабочее время и выходные... наверное даже дресскод..

Антивирус выл отключен при моем уже осмотре, просканировал, включив Symantec, через CureIT (Ничего не обнаружил), AVZ (какие-то строчки красные были =) ). С логами какими надо могу заново просканировать. Времени на полное шифрование всего диска скорее всего небыло, но не факт.

Посмотрел информацию в сети, посоветовали жесткий прогнать через R-Studio, программы файлы видит но имена все убиты, структура папок и по количеству и содержанию файлов не факт что там все и то будет если восстанавливать так... короче головняк.

Еще всех не опросили кто что делал в это время, т.к. сейчас праздники и не до всех дозвониться, но те кто был в офисе говорят "никто ничего, пароли админа не давали, ничего не устанавливали"
Можете ли посоветовать что делать в такой ситуации? Разобраться как так получилось, чтоб больше не получалось. Архивы недельной давности вроде как есть, но конкретно чего и сколько надо еще смотреть. Заранее спасибо!

[Info_bot]

Уважаемый(ая) CrazyDeMoN16, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Очередная легальная программа, которая используется в интересах злоумышленника. Расшифровать файлы скорее всего не получится без ключа.