Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

DiskCryptor на сервере

MyKasper
 Поделиться

Рекомендуемые сообщения

MyKasper

MyKasper

Опубликовано
Опубликовано

 После выходных получили такое на нашем сервере. Кто сталкивался, нужна помощь.

 
 
 
К Вашему серверу был получен доступ в связи с непрофессиональной настройкой безопасности.
 
Диски сервера шифрованы программой DiskCryptor
C:\Program Files\dcrypt
 
Описание программы:
 
Официальный сайт программы:
 
Для расшифровки дисков требуется пароль, обратиться за паролем Вы можете, написав на электронный адрес:
mmkn@protonmail.com
 
В письме укажите свой ip адрес:
91.*.*.*
 
Некоторые данные с системного диска С перенесены на шифрованный диск.
Некоторые сервера зашифрованы включая системные диски (где есть большие объемы информации), там пароль вводим до загрузки операционной системы.
 
Внимание! Если Вы планируете получить пароль, НЕ форматируйте диски с шифрованными разделами.
В случае форматирования дисков, их расшифровка будет НЕ возможна.
 
Как расшифровать диск и восстановить работоспособность сервера?
Запускаете программу DiskCryptor 
Выбираете зашифрованный диск 
Нажимаете Mount
Программа запрашивает пароль, это значит, что DiskCryptor видит свой шифрованный диск и готов с ним работать
Вводите пароль
Диск монтируется и всем пользователем уже можно с ним работать
Далее нажимаете Decrypt и расшифровываете диск
После этого программу можно удалить.
 
Windows Server 2012 R2 Standart.
 

CollectionLog-2017.05.02-16.20.zip

regist

regist

Опубликовано
Опубликовано

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - Global User Startup: DiskCryptor.lnk    ->    C:\Program Files (x86)\dcrypt\dcrypt.exe
O4 - Global User Startup: Прочти! — копия.txt
O4 - Global User Startup: Прочти!.txt

 

с расшифровкой помочь не сможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Вадим161
      поймали rdata, диски в RAW
      Автор Вадим161
      Добрый день! Злоумышленники попали на сервер, зашифровали часть файлов добавив .rdata.
      Диски в RAW.
      KES 12.11 версии вроде стоял, удален.
      Сообщение оставили с таким содержанием: 
      To recover your data, contact us: rdata@onionmail.org
      Use only Google mail to contact us!
      The lowest price is valid only on the first day.
      Что предпринять? Пробовал восстановить том с помощью AOMEI Partition Assistant Server - без успешно.
      Во пример шифрованного файла и сообщение.
      Downloads.zip
      FRST.txt
    • Zsv89
      Зашифровали diskcryptor
      Автор Zsv89
      неДобрый день. Поймали непонятным образом вирус,который зашифровал через diskcryptor.
       
      To recover your data, contact us: rdata@onionmail.org
      The lowest price is valid only on the first day.
       
      расширение .rdata

       
       
    • SergeyGMS
      Шифровальщик @BeGood327 diskcryptor
      Автор SergeyGMS
      Здравствуйте. Столкнулся с ситуацией, когда все серверы и рабочие станции в доменной сети были зашифрованы. Некоторые серверы работают и не были зашифрованы, но на них нет того, что мне нужно. При загрузке системы появляется сообщение FOR UNLOCK - CONTACT TELEGRAMM @BeGood327.
       
    • kursovoy
      Зашифрован диск Windows не загружается
      Автор kursovoy
      Доброго времени суток. Прошу помощи в расшифровке. 
      Зашифрованы все серверы в домене Active Directory, серверы - виртуальные машины VMware ESXi, ОС не загружается, пишет:
      To decrypt your server, send ID to 
      ru9944@yandex.ru
    • Agafis
      diskcryptor как расшифровать диски?
      Автор Agafis
      Взломали сервер и были зашифрованы диски diskcryptor. Возможно ли расшифровать без пароля?
×
×
  • Создать...