AdVv Опубликовано 26 июня, 2019 Опубликовано 26 июня, 2019 (изменено) Доброго всем ! Случилась неприятность, через дыру в RDP, старенький Windows Server 2003 был взломан и на нем зашифрована вся информация. После перезагрузки на экране текстовое сообщение следующего содержания Your PC's data is encrypted! If you pay 250$ by Bitcoin, soon decrypt. address: 1BssPi5rjEE8DgJRcdRRjGikC5feGCvyPh After Pay connect:soondecrypt@protonmail.com,allway88@bk.ru Your ID is 192.168.0.1 enter password: IP адрес изменен. До загрузки операционной системы дело не доходит. Анализ диска показал, что испорчены таблицы размещения файлов на всех дисках и подменен загрузчик. Кrd в загрузочных областях ничего не обнаруживает. Вопрос: как определить, что за зловред был применен и существует ли теоретическая возможность восстановления данных, у злоумышленников или без их участия. Изменено 26 июня, 2019 пользователем AdVv
thyrex Опубликовано 26 июня, 2019 Опубликовано 26 июня, 2019 Сообщение появляется еще до начала загрузки системы? 1
AdVv Опубликовано 27 июня, 2019 Автор Опубликовано 27 июня, 2019 Сообщение появляется еще до начала загрузки системы? Так точно, в текстовом режиме, загрузчиком. При подключении винта к другому компьютеру файловая система на системном разделе Windows отсутствует.
thyrex Опубликовано 27 июня, 2019 Опубликовано 27 июня, 2019 Увы, поработали како-то из легитимных утилит шифрования дисков типа DiskCryptor. Ничем помочь не представляется возможным.
AdVv Опубликовано 27 июня, 2019 Автор Опубликовано 27 июня, 2019 (изменено) Увы, поработали како-то из легитимных утилит шифрования дисков типа DiskCryptor. Ничем помочь не представляется возможным. По факту диск не зашифрован, просто разрушены метаданные файловой системы, файлы восстанавливаются, но по большей части без названий и структуры каталогов. При запуске выдается форма для ввода пароля. Можно как-то выяснить, сделана она для отвода глаз, или там реально присутствует код для восстановления затертых mft ? Изменено 27 июня, 2019 пользователем AdVv
thyrex Опубликовано 27 июня, 2019 Опубликовано 27 июня, 2019 Силами добровольцев на форуме, которые оказывают помощь в данном разделе, не представляется возможным это выяснить. Обращайтесь в техподдержку. 2
thyrex Опубликовано 27 июня, 2019 Опубликовано 27 июня, 2019 Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".
Рекомендуемые сообщения