[РЕШЕНО] Прошу помощи в определении шифровальщика.

[AdVv]

Доброго всем !

Случилась неприятность, через дыру в RDP, старенький Windows Server 2003 был взломан и на нем зашифрована вся информация.

После перезагрузки на экране текстовое сообщение следующего содержания
 

Your PC's data is encrypted!

If you pay 250$ by Bitcoin, soon decrypt.

address: 1BssPi5rjEE8DgJRcdRRjGikC5feGCvyPh

After Pay connect:soondecrypt@protonmail.com,allway88@bk.ru

Your ID is 192.168.0.1

enter password:

 

 

IP адрес изменен.

До загрузки операционной системы дело не доходит.

Анализ диска показал, что испорчены таблицы размещения файлов на всех дисках и подменен загрузчик.

Кrd в загрузочных областях ничего не обнаруживает.

Вопрос: как определить, что за зловред был применен и существует ли теоретическая возможность восстановления данных, у злоумышленников или без их участия.

Изменено 26 июня, 2019 пользователем AdVv

[thyrex]

Сообщение появляется еще до начала загрузки системы?

[AdVv]

Сообщение появляется еще до начала загрузки системы?

 

Так точно, в текстовом режиме, загрузчиком. При подключении винта к другому компьютеру файловая система на системном разделе Windows отсутствует.

[thyrex]

Увы, поработали како-то из легитимных утилит шифрования дисков типа DiskCryptor. Ничем помочь не представляется возможным.

[AdVv]

Увы, поработали како-то из легитимных утилит шифрования дисков типа DiskCryptor. Ничем помочь не представляется возможным.

 

По факту диск не зашифрован, просто разрушены метаданные файловой системы, файлы восстанавливаются, но по большей части без названий и структуры каталогов.

При запуске выдается форма для ввода пароля. Можно как-то выяснить, сделана она для отвода глаз, или там реально присутствует код для восстановления затертых mft ?

Изменено 27 июня, 2019 пользователем AdVv

[thyrex]

Силами добровольцев на форуме, которые оказывают помощь в данном разделе, не представляется возможным это выяснить. Обращайтесь в техподдержку.

[AdVv]

@thyrex, спасибо.

[thyrex]

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".