Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Прошу помощи в определении шифровальщика.

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 7

#1 OFF   AdVv

AdVv

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 26 Июнь 2019 - 15:08

Доброго всем !

Случилась неприятность, через дыру в RDP, старенький Windows Server 2003 был взломан и на нем зашифрована вся информация.

После перезагрузки на экране текстовое сообщение следующего содержания
 

Your PC's data is encrypted!

If you pay 250$ by Bitcoin, soon decrypt.

address: 1BssPi5rjEE8DgJRcdRRjGikC5feGCvyPh

After Pay connect:soondecrypt@protonmail.com,allway88@bk.ru

Your ID is 192.168.0.1

enter password:

 

 

IP адрес изменен.

До загрузки операционной системы дело не доходит.

Анализ диска показал, что испорчены таблицы размещения файлов на всех дисках и подменен загрузчик.

Кrd в загрузочных областях ничего не обнаруживает.

Вопрос: как определить, что за зловред был применен и существует ли теоретическая возможность восстановления данных, у злоумышленников или без их участия.


Сообщение отредактировал AdVv: 26 Июнь 2019 - 15:12

  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 454

Награды

           

Отправлено 26 Июнь 2019 - 15:15

Сообщение появляется еще до начала загрузки системы?
  • 0
  • Согласен x 1
  • Показать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   AdVv

AdVv

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 27 Июнь 2019 - 10:47

Сообщение появляется еще до начала загрузки системы?

 

Так точно, в текстовом режиме, загрузчиком. При подключении винта к другому компьютеру файловая система на системном разделе Windows отсутствует.


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 454

Награды

           

Отправлено 27 Июнь 2019 - 11:15

Увы, поработали како-то из легитимных утилит шифрования дисков типа DiskCryptor. Ничем помочь не представляется возможным.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   AdVv

AdVv

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 27 Июнь 2019 - 12:19

Увы, поработали како-то из легитимных утилит шифрования дисков типа DiskCryptor. Ничем помочь не представляется возможным.

 

По факту диск не зашифрован, просто разрушены метаданные файловой системы, файлы восстанавливаются, но по большей части без названий и структуры каталогов.

При запуске выдается форма для ввода пароля. Можно как-то выяснить, сделана она для отвода глаз, или там реально присутствует код для восстановления затертых mft ?


Сообщение отредактировал AdVv: 27 Июнь 2019 - 12:20

  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 454

Награды

           

Отправлено 27 Июнь 2019 - 12:22

Силами добровольцев на форуме, которые оказывают помощь в данном разделе, не представляется возможным это выяснить. Обращайтесь в техподдержку.


  • 1
  • Согласен x 1
  • Показать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   AdVv

AdVv

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 27 Июнь 2019 - 12:24

thyrex, спасибо.


  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 454

Награды

           

Отправлено 27 Июнь 2019 - 17:00

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных