Сегодня днём произошла беда - на стареньком сервере терминалов с 1С и ПО складского учёта произошла беда. При логоне под любой учёткой открывается штук 20 файлов "Прочти!.txt", "Копия Прочти..." и т.п. с текстом:
"
Ваш диск зашифрован программой для шифрования данных DiskCryptor.
Сама программа находится в папке C:\Program Files\dcrypt\dcrypt.exe
Некоторые данные с диска С: перенесены на шифрованный диск D:
Для расшифровки требуется пароль.
За паролем Вы можете обратиться к нам, написав на электронный ящик xxx
В письме укажите номер ip адрес Вашего сервера x.x.x.x
P.S.
Что бесполезно делать:
1. Проверять на вирусы. DiskCryptor это не вирус а легальная программа для шифрования дисков.
2. Пытаться восстановить файлы. Программа DiskCryptor не удаляет, а шифрует раздел жеского диска
алгоритмом AES, что исключает возможность "извечения" данных без пароля.
"
Извините, IP убрал (если необходимо - сообщу, но не в прямом виде), email заменил на xxx (не хочу, чтобы злоумышленник нагуглил мои запросы на этом форуме. Сообщу, но не в прямом виде). Диск D со всеми данными стал недоступен. Появилась новая учётка пользователя с правами администратора User. В папке "Недавние документы" видно, что злоумышленник открывал файл pass.txt с рабочего стола другого пользователя.
Всё, что мог (историю IE, журналы системы) с сегодняшнего дня он очистил. До моего письма админы успели пройтись AVG, который стоял на компьютере, подчистить и остальные следы, если они были.
Помогите, пожалуйста! Первый пункт требований, согласно рекомендациям для серверов, я пропустил. Поэтому файла только 2. Если необходимо - вернусь и сделаю, добавлю третий файл.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Michael1, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.