шифровальщик файлов с расширением [egor.orehov@protonmail.com].haiN0shi

[Stone7]

На сервере зашифрована часть данных. Файлы получили расширение [egor.orehov@protonmail.com].haiN0shi

Сервер был выключен, загружен с WinPE. Проверка KVRT ничего не обнаружила.

Есть мнение, что заражение прошло через доступ к сетевым дискам извне, с какой либо рабочей станции, т.к. зашифрованы данные только на сетевых дисках. 

Сам сервер, скорее всего, не заражен. 

Обратился в DrWeb, выслал им образцы зашифрованных файлов. Они сказали, что файлы пустые, все тупо заполнено нулями.

Посмотрел в hex -   так и есть. 

Связались с вымогателями, выслали несколько зараженных файлов, получили расшифрованные. 

 

Теперь имеются образцы шифрованных и расшифрованных файлов. 

Прикрепил их в архиве.

В течении всего времени, с момента шифрования, сервер отключен от сети. Идет резервное копирование данных, в т.ч. и зашифрованных.

Прошу помощи.

Зашифрованные и расшифрованные файлы.rar

Изменено 16 октября, 2019 пользователем Stone7

[thyrex]

Стало быть перед тем, как испортить файлы, злоумышленники просто скопировали их все себе. Другого способа восстановить информацию из забитых нулями файлов не существует.