Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

[ Закрыто ] Зашифрованные архивы *.rar , возможно, Filecoder.NFI

1
RSS
 
generalov
generalov
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 04.02.2013
Размещено 04.02.2013 11:44:01
Добрый день!
Возникла такая проблема, каким то образом злоумышленник проник на сервер. И создал архивы всех папок находящихся в корне диска. И оставили файл с именем "ЧТО_НУЖНО_СДЕЛАТЬ.txt"
в файле текст:
Цитата

Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самых криптостойких алгоритмов. Восстановить файлы можно только зная уникальный для Вашего пк пароль. Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода. Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии. Напишите нам письмо на адрес [email protected] (Вам ответят в течение 24 часов), чтобы узнать как получить пароль для возможности восстановления данных. Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер. Среднее время ответа специалиста 12-24 часа. К письму обязательно прикрепите уникальный для Вашего компьютера код (расположен внизу этого текстового файла). Письма с угрозами будут игнорироваться! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!



============================================================­========
УНИКАЛЬНЫЙ КОД sdf7sdyf7ygLnQ2sdfh3kVs7q003PQEZvoSwd
============================================================­========
Для примера прикрепляю созданный злоумышленником архив.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 04.02.2013 11:52:30
Вам сюда [email protected]
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 04.02.2013 14:51:45
Так rar-файлы он создал или с каким-то иным расширением?
Вообще, можно почитать и подумать над этими темами:
http://www.securelist.com/ru/blog/40195/GpCode_vernulsya
http://support.kaspersky.ru/2911
http://tyugashev-va.livejournal.com/749.html
Ну, и тему на нашем форуме:
http://forum.esetnod32.ru/forum35/topic8347/
 
generalov
generalov
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 04.02.2013
Размещено 04.02.2013 19:37:18
Да, действительно именно *.rar архивы. Не так как пишут, что якобы файлы с расширением (не помню точно каким). Поэтому имеющие дешифраторы не работают.
Видно что-то новое.
 
generalov
generalov
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 04.02.2013
Размещено 04.02.2013 19:39:49
Не все папки были архивированы, потому что я вовремя заметил, что на сервере был произведен запуск WinRAR, и был вход пользователем у которого не было до этого прав администратора. А после этого было, он оказался Администратором домена.
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 04.02.2013 21:09:18
Вся штука в том, что зашифрованные файлы можно "обозвать" хоть архивами, хоть вордовскими документами: всё равно соответствующие программы их не откроют.
А свое мнение по таким вот заражениям я уже сказал в теме http://forum.esetnod32.ru/forum35/topic8347/
 
generalov
generalov
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 04.02.2013
Размещено 04.02.2013 21:29:14
marshal64, я понял тебя, для примера я прикрепил файл в первом сообщении.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 04.02.2013 23:03:45
Я вроде написал что делать, толку от Ваших файлов тут нет.
Тема закрыта.
 
1
Читают тему