[ Закрыто ] Зашифрованные архивы *.rar , возможно, Filecoder.NFI

1
RSS
Добрый день!
Возникла такая проблема, каким то образом злоумышленник проник на сервер. И создал архивы всех папок находящихся в корне диска. И оставили файл с именем "ЧТО_НУЖНО_СДЕЛАТЬ.txt"
в файле текст:
Цитата

Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самых криптостойких алгоритмов. Восстановить файлы можно только зная уникальный для Вашего пк пароль. Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода. Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии. Напишите нам письмо на адрес tormail624573@gmail.com (Вам ответят в течение 24 часов), чтобы узнать как получить пароль для возможности восстановления данных. Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер. Среднее время ответа специалиста 12-24 часа. К письму обязательно прикрепите уникальный для Вашего компьютера код (расположен внизу этого текстового файла). Письма с угрозами будут игнорироваться! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!



============================================================­========
УНИКАЛЬНЫЙ КОД sdf7sdyf7ygLnQ2sdfh3kVs7q003PQEZvoSwd
============================================================­========
Для примера прикрепляю созданный злоумышленником архив.
Вам сюда support@esetnod32.ru
Так rar-файлы он создал или с каким-то иным расширением?
Вообще, можно почитать и подумать над этими темами:
http://www.securelist.com/ru/blog/40195/GpCode_vernulsya
http://support.kaspersky.ru/2911
http://tyugashev-va.livejournal.com/749.html
Ну, и тему на нашем форуме:
http://forum.esetnod32.ru/forum35/topic8347/
Да, действительно именно *.rar архивы. Не так как пишут, что якобы файлы с расширением (не помню точно каким). Поэтому имеющие дешифраторы не работают.
Видно что-то новое.
Не все папки были архивированы, потому что я вовремя заметил, что на сервере был произведен запуск WinRAR, и был вход пользователем у которого не было до этого прав администратора. А после этого было, он оказался Администратором домена.
Вся штука в том, что зашифрованные файлы можно "обозвать" хоть архивами, хоть вордовскими документами: всё равно соответствующие программы их не откроют.
А свое мнение по таким вот заражениям я уже сказал в теме http://forum.esetnod32.ru/forum35/topic8347/
marshal64, я понял тебя, для примера я прикрепил файл в первом сообщении.
Я вроде написал что делать, толку от Ваших файлов тут нет.
Тема закрыта.
1
Читают тему (гостей: 1)