Сегодня с утра столкнулся с проблемой.
Установлен гипервизор VMware Esxi 5.5
Установлены гостевые системы Windows Server 2008 R2 Standard.
Сегодня с утра было обнаружено, что обе гостевые системы заражены вирусом шифровальщиком.
В корне директорий лежит файл след. содержания:
Скрытый текст
Код:
█████╗ ███████╗███████╗ ███╗ ██╗██╗
██╔══██╗██╔════╝██╔════╝ ████╗ ██║██║
███████║█████╗ ███████╗█████╗██╔██╗ ██║██║
██╔══██║██╔══╝ ╚════██║╚════╝██║╚██╗██║██║
██║ ██║███████╗███████║ ██║ ╚████║██║
╚═╝ ╚═╝╚══════╝╚══════╝ ╚═╝ ╚═══╝╚═╝
SPECIAL VERSION: NSA EXPLOIT EDITION
INTRO: If you are reading it, your server was attacked with NSA exploits.
Make World Safe Again.
SORRY! Your files are encrypted.
File contents are encrypted with random key (AES-256 bit; ECB mode).
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
[email protected][email protected][email protected]
IMPORTANT: In some cases malware researchers can block our e-mails.
If you did not receive any answer on e-mail in 48 hours,
please do not panic and write to BitMsg (https://bitmsg.me) address:
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
or create topic on https://www.bleepingcomputer.com/ and we will find you there.
If someone else offers you files restoring, ask him for test decryption.
Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
You MUST refer this ID in your message:
WIN-FN8A3BN3MM9#43C5A8EEAB914719B97BFEFFECF1C5EB
Also you MUST send all ".key.aes_ni_0day" files from C:\ProgramData if there are any.
===============================# aes-ni ransomware #===============================
Скрыть
Есть-ли возможность расшифровать хотя бы часть фалов?(если нет, то в принципе не страшно. Есть бекапы. НО кое-чего в этих бекапах нету.)
Каким образом вирус мог проникнуть на зараженную машину? На обоих машинах отключен RDP. Есть только MSSQL Express. Подключения к нему разрешены только с определённых IP адресов.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) zvonchuk, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
