Перейти к содержанию

[РЕШЕНО] Прошу помощи в определении шифровальщика.

AdVv
 Share

Рекомендуемые сообщения

AdVv Новичок

AdVv

Опубликовано
Опубликовано (изменено)

Доброго всем !

Случилась неприятность, через дыру в RDP, старенький Windows Server 2003 был взломан и на нем зашифрована вся информация.

После перезагрузки на экране текстовое сообщение следующего содержания
 

Your PC's data is encrypted!

If you pay 250$ by Bitcoin, soon decrypt.

address: 1BssPi5rjEE8DgJRcdRRjGikC5feGCvyPh

After Pay connect:soondecrypt@protonmail.com,allway88@bk.ru

Your ID is 192.168.0.1

enter password:

 

 

IP адрес изменен.

До загрузки операционной системы дело не доходит.

Анализ диска показал, что испорчены таблицы размещения файлов на всех дисках и подменен загрузчик.

Кrd в загрузочных областях ничего не обнаруживает.

Вопрос: как определить, что за зловред был применен и существует ли теоретическая возможность восстановления данных, у злоумышленников или без их участия.

Изменено пользователем AdVv
Ссылка на комментарий
Поделиться на другие сайты
AdVv Новичок

AdVv

Опубликовано
  • Автор
Опубликовано

Сообщение появляется еще до начала загрузки системы?

 

Так точно, в текстовом режиме, загрузчиком. При подключении винта к другому компьютеру файловая система на системном разделе Windows отсутствует.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Увы, поработали како-то из легитимных утилит шифрования дисков типа DiskCryptor. Ничем помочь не представляется возможным.

Ссылка на комментарий
Поделиться на другие сайты
AdVv Новичок

AdVv

Опубликовано
  • Автор
Опубликовано (изменено)

Увы, поработали како-то из легитимных утилит шифрования дисков типа DiskCryptor. Ничем помочь не представляется возможным.

 

По факту диск не зашифрован, просто разрушены метаданные файловой системы, файлы восстанавливаются, но по большей части без названий и структуры каталогов.

При запуске выдается форма для ввода пароля. Можно как-то выяснить, сделана она для отвода глаз, или там реально присутствует код для восстановления затертых mft ?

Изменено пользователем AdVv
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Силами добровольцев на форуме, которые оказывают помощь в данном разделе, не представляется возможным это выяснить. Обращайтесь в техподдержку.

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Дмитрий71
      Шифровальщик AZOT прошу помощи
      От Дмитрий71
      Шифровальщик AZOT зашифровал сервер 1с и просит денег. Подскажите, существуют ли варианты решения или всё в топку?( 
      в каталоге C:\DEC лежит как предполагаю декриптор 8772-decrypter.rar с паролем 
      Addition.txt FRST.txt
    • Константин agromoll34
      Прошу помощи
      От Константин agromoll34
      У нас сейчас точно такая же проблема, как решить вопрос?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Сергей Комаров
      Поймали шифровальщика, прошу помощи в определении и расшифровке
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • tkm
      [РЕШЕНО] Прошу помощи в лечении ПК
      От tkm
      Здравствуйте!
      Как было рекомендовано в разделе "Порядок оформления запроса о помощи" проверил ПК антивирусом, но скачать актуальную версию автоматического сборщика логов не дает McAffe (установлен был лет 5-6 назад). Удалял его обычными средствами, но видимо не получилось. 
      Пожалуйста подскажите, как решить проблему
    • Xynire
      HEUR:Trojan.Multi.GenBadur.genw Прошу помощь в Удалении
      От Xynire
      Измучал меня этот троян. Антивирус борется с ним, но после перезагрузки будто ничего не было. Заранее благодарю
×
×
  • Создать...