Добрый день!
Если всё же здесь только для windows помощь, то прошу простить и удалить тему, если нет - информация далее.
Имеем сервер на Debian, судя по всему взломан, т.к. все файлы зашифрованы от рута, бэкапы удалены.
Лечение не требуется, т.к. проще просто снести систему и поставить ось с нуля. Собственно вопрос только один, возможно ли расшифровать файлы. Прилагаю файл о требовании выкупа, а также зашифрованный файл и чистый идентичный зашифрованному.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) s0k0l.t, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
Скорее всего с расшифровкой не сможем помочь. Уточните пожалуйста, у Вас на сервере был установлен roundcube?
Согласно сторонней информацией, вредоносное ПО шифрует следующие файлы с расширением: .shtml, .jpg, и php.ini, получается используя какую-то уязвимость web-server.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
В данном конкретном случае зашифрованы были абсолютно все файлы, кроме бинарников. Что мог уже восстановил из ручных бэкапов. roundcube установлен был.
Могли бы уточнить версию roundcube. А также в логах веб-сервера (apache, nginx) остались логи access, чтобы бы убедиться, что использовали имено уязвимость roundcube. Некоторые пользователи сообщают, что использовался эксплойд Exim.Сообщение от s0k0l.t
P.S. На данный момент нет данных о публичных решениях по вашему случаю. Если есть лицензия на продукты Лаборатории Касперского или Dr.Web пробуйте обратиься к ним за помощью.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
все логи выглядят так: 2019-08-05_21.52.42.png
Версия roundcube 1.2.3+dfsg.1-4+deb9u2 (Была предустановлена на сервере FastVPS от декабря 201
В этом случае логи не помогут, понять откуда источник уязвимости.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Ваши права в разделе
Ответить с цитированием
