Зашифрованы файлы на сетевом хранилище

[amasanov]

Здравствуйте.Внезапно обнаружил, что зашифрована большая часть файлов на сетевом хранилище.При этом на основном компьютере проблем не обнаружено.Наименование файлов поменялось на "{исходное имя}[weghu2ou@secmail.pro].CC"В каталогах появился файл с наименованием "!!!НАСЧЕТ_ФАЙЛОВ_ПИШИТЕ_НА__(weghu2ou@secmail.pro).txt.[weghu2ou@secmail.pro]".Сканирование компьютера с помощью CureIt ничего заметного не выдала.Сканирование диска хранилища выявило заражение выполняемых файлов Win32.Gael.3666.(Замечу, что выполняемые файлы чисто хранились, не запускались.)Пример приложил. Ужался сильно... Не к добру ведь?з.ы. почти весь фотоархив

логи

пример.zip

CollectionLog-2019.05.23-21.25.zip

[mike 1]

Какое сетевое хранилище используется?

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[amasanov]

 

 

Хранилищу WD MyBook Live Duo.

 

 

 

Farbar запустил, пока работает.

 

 

 

Теперь вопрос чуть сбоку. А реально ли файлы зашифрованы? Внутри же вроде просто нули?

 

Я переписываюсь с этим "человеком". В качестве доказательства он прислал несколько файлов - фоток реальных, правильных.

 

Является ли это подтверждением зашифровки - но это значит, что он по прежнему имеет доступ к диску?

 

Или как вариант - он себе слил содержимое диска?

 

Я бы в общем даже заплатил... коль уж оказался лохом. Если сумма не слишком велика. Но тут вопрос гарантий...

 

p.s. Получил ещё рекомендацию до оплаты отключить диск. На после оплаты обещается прислать прогу, которую нужно запустить при отключённом интернете.

Результаты farbar прикладываю.

A cureit теперь нашёл MBR со словами DISK:SUSPICIOUS.FakedMBR.1. Вылечить не смог.

Addition.txt

FRST.txt

[thyrex]

Скачайте TDSSkiller. Запустите программу из командной строки с ключами

-qboot -qmbr

 

Найдите на диске С папку с карантином утилиты, заархивируйте с паролем virus и прикрепите архив к следующему сообщению

[amasanov]

tdss - это по вопросу с MBR?

Ничего не создаётся в папке с карантином (на всякий случай указывал явный путь в командной строке).

Повторный прогон Cureit ничего не выявил, впрочем.

[thyrex]

Да, речь про MBR. Значит что-то делаете не так, если папка с карантином пуста.

[amasanov]

Прикладываю карантин tdss.

Но вроде он ничего не нашёл.

 

222.zip

[amasanov]

В общем за отсутствием вариантов подсказок - заплатил денег. 15-ку. И впустую.

Чел прислал ссылку днём, с работы я открыть её не мог - у нас закрыто всё что можно.

Вечером ссылка не пашет.

Промурыжил все выхи "завтраками".

Вчера написал, что "антивирус уничтожил часть программы. Так как планировали не выходит, думаем о вариантах и т.д."

Чуть-чуть файлов опять выложил.

Потом написал, что единственный выход - "прямая заливка". Видимо намекает, что архив слил перед порчей.

Ну и конечно же нужно доплатить. Тухляк.

Да и не верится уже. Слить терабайт просто чтобы так у себя повалялся?

Денег жалко, но по сравнению с потерянным фотоархивом за кучу лет - мура. Мда.

 

По описанию проблемы добавлю:

В некоторых каталогах помимо файла с новым именем  - остались файлы с оригинальным именем, но нулевого размера.

Может быть какое-то хитрое удаление? Попробовать пройтись восстанавливальщиками или смысла нет?

Да и самое главное - как предотвратить такое в будущем?

То, что не затронуты файлы на компьютере и подсоединённом по firewire внешнем жёстком диске с другим куском архива - означает ли что атаке подвергся только NAS?

Или всё равно дело было в компьютере - просто так сложилось?