Добрый день!
Произошла беда, резервных копий нет , файлы ОЧЕНЬ нужны, а платить злоумышленникам - себя не уважать, но если не получится решить вопрос - придется
Сначала у пользователей отвалился сетевой диск, затем сервер неожиданно выключился.
После включения и входа на сервер открылся в блокноте файл Прочти!!!.txt раз двадцать (Копия Прочти!!!.txt, Копия (2) Прочти!!!.txt и т.д. до ) с содержанием:
Информация
Ваши диски зашифрованны программой DiskCryptor.
Сама программа находится в папке Program Files\dcrypt на диске С.
Для расшифровки требуется пароль.
За паролем Вы можете обратиться к нам, написав на электронный ящик [email protected]
В письме укажите номер Вашего сервера 1454
Анализ показал что все EVENT логи сервера перед выклчением были очищены.
Написав на указанный адрес был получен ответ:
Информация
От: Александр Иванов <[email protected]>
Дата: среда, 12 марта 2014г., 13:50 +04:00
Тема: Re: пароль
Добрый день.
Стоимость пароля для расшифровки 10000 рублей.
Оплатить можно следующим образом
Регистрируйтесь (если не зарегистрированы) в платежной системе qiwi.ru
Пополняете свой счет на сумму 10000 рублей через терминалы киви или салоны связи евросеть, связной.
Далее, заходите в свой личный киви кабинет на сайте qiwi.ru
В верхнем левом углу в строке поиска набираем: QIWI Яйца
Переходим на страницу покупки киви яйца.
Совершаем покупку стоимостью 10000
После совершения покупки система выдаст вам код киви яйца
Далее сообщите нам полученный код.
После получения кода, мы вышлем вам пароль.
Далее запускаете программу диск криптор, выбираете зашифрованный диск, нажимаете Mount, вводите пароль, диск монтируется и всем пользователем уже можно с ним работать, далее нажимаете Decrypt и расшифровываете диск, после этого программу можно удалить.
Так же меняете пароль на все учетные записи windows и делаете действительно сложные пароли, которые не подбираются по словарю.
При ответе сохраняйте переписку.
P.S. Некоторые заблуждаются, думая, что данные или раздел жесткого диска просто удалены. Это не так. Если вы запустите программу DiskCryptor, выберите зашифрованный диск и нажмете Mount - программа запросит пароль, это означает, что программа видит свой шифрованный диск и готова с ним работать, остается только ввести пароль.
Вручную были обнаружены сохранены и заархивированы следующие файлы в папке C:\0\rr
[DeD]C14 v.5.1.exe - похоже собственно сама программа выполнившая шифрование
Чиститель логов V2_2.exe - название говорит само за себя
2.vbs - манипуляции с логами EventLog
dcrypt_setup.exe - собственно инсталлятор DiskCryptor
Архив с файлами прилагаю: http://alexeyoml.info/c.zip
Внимание
Уверен что в файле [DeD]C14 v.5.1.exe есть решение, но у самого недостаточно опыта и знаний...
На virusinfo.info уже есть 2 темы с точно такими же симптомами и почтовым ящиком для связи со злоумышленником, но решения в них нет
http://virusinfo.info/showthread.php?t=156493
http://virusinfo.info/showthread.php?t=156528
Файлы AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log прилагаю.
virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log