Открываю я сегодня свой чудо ПК, а у меня большенство файлов пропало((((

вот куча таких файлов на диске: email-crypt.cryptor@aol.com.ver-CL 1.2.0.0.id-GJMPSVYADFILNQTVYADGJLNRTWZBEGJMORUX-12.12.2015 10@59@296059036.randomname-BEIKNQSWYADFJLNQTWYBEGJLOQTWYB.EGK.cbf


Походу кто то словил шифровальщина, файлы созданы все в одно и тоже самое время 12 декабря 2015 г., 11:15:46

И теперь пропала функция поиска, думал по маске найти все файлы да удалить но не открывает поиск, никакой ошибки не выдает

1. Система поражена вирусом-шифровальщиком. Устраняйте. В свойствах созданных файлов можно увидеть две вещи: у кого имеются разрешения на их создание и их владельцев/создателей.
2. Далее доставайте файлы из резервных копий и/или Shadow Copies (теневых копий), которые, по-хорошему, должны создаваться ежечасно.
3. Ищите причину, почему заражение стало возможным, устраняйте её. В 99% случаев этому причиной является плохая работа администратора: раздача прав администратора пользователям, не включена политика Software Restriction Policies. не установлены последние обновления Windows.

Признаю свою вину, безалаберно отнесся(((

Как найти что именно их зашифровало? малоли оно и дальше лежит у меня на машине и ждет своего часа(

В свойствах нет нечего кто и когда его создавал, контора не большая 2-3 человека бакапы только ночью делались

вот это оно может быть?
https://securelist.social-kaspersky.com/ru/descriptions/Trojan.Win32.Scar.lvmb

Как найти что именно их зашифровало?
Обычно на Рабочем столе остаётся обоина или файлик с описанием и предложением "за скромную плату" вернуть всё обратно.

Обычно на Рабочем столе остаётся обоина или файлик с описанием и предложением "за скромную плату" вернуть всё обратно. »


Пусто

Кто владелец созданных файлов?
Если это не конкретный пользователь, а группа Administrators/Domain Admins, то это сделал сотрудник с привилегиями администратора на этом сервере.
Исходя из владельца, можно искать его рабочую станцию.

Какая то х*ня с бакапами произошла, бакапы релаж 10 дней, смотрю логи прогр которая бакап делает, она удалила последний бакап за 23.11.2015 а в папке лежит 3 зашифрованых и три от 12.12.2015, где остальный не понятно, да и r-studio молчит(

к-ыегвшщ не видет созданные и удаленные бакапы созданные в учшдфтв, но зато увидел файлы которые я год назад через форматирование снес(

Нет, вы не можете восстанавливать бэкапы с помощью спецпрограмм типа R-Studio. Они не будут целостными.
Ищите подлинные целостные копии. Разумеется, вы должны проверять качество копирования и отрабатывать процедуру восстановления. Не понял, что с Shadow Copies, их тоже не делалось? Что с владельцами, ничего нет?

Возможно, здесь вам помогут с расшифровкой: http://virusinfo.info/forumdisplay.php?f=46
Но я бы не стал на это делать серьёзных ставок.

или Shadow Copies (теневых копий), которые, по-хорошему, должны создаваться ежечасно. »

Наивная вера в эти копии. Шифровальщики давно научились шифровать и все существующие копии заодно. Не предлагайте, чего не знаете.

Ответ от шифровальщиков пришел
Добрый день! Зашифровали Ваш сервер?
Почему так произошло? Из-за безалаберного отношения к безопасности Вашего сервера.
Компании, занимающиеся поиском бэкдоров, эксплоитов нулевого дня и пр.(уязвимостей, по-простому),
берут за свои услуги десятки тысяч евро! Мы же , в качестве вознаграждения, попросим у вас всего 1.65 биткоина при оплате сегодняи завтра, ну а позже
цена уже возрастёт до 2.5. Реквизиты вышлю, когда Вы будете готовы платить.
Курс биткоина можно узнать на www.matbea.com
Объясню Вам, что нужно делать дальше
1) Изъявить желание платить. Не собираетесь платить - нет смысла даже писать.
2) Если Вы хотите убедиться в том, что у нас имеется дешифратор к файлам, вышлите ПЯТЬ любых зашифрованных файлов для тестовой расшифровки.
ПРИМЕЧАНИЕ: тестовая расшифровка возможна только для файлов, которые не представляют никакой практической и/или коммерческой ценности для Вас (файлы/базы 1с, проекты в 3DMAX, AutoCad, REVIT и т.д,)
3) После всего этого мы высылаем Вам реквизиты и инструкции по оплате на БИТКОИН
4) Мы высылаем Вам дешифратор. Дешифратор отработает по Вашей системе по тому же принципу, что и антивирус - отсканирует систему от а до я на наличие CBF и расшифрует все данные, которые были зашифрованы так же, по порядку.

всего 1.65 биткоина при оплате сегодняи »

50 000 руб. - обнаглели

50 000 руб. - обнаглели »

Таки да, жаль их выловить очень проблемно, ноги и руки бы поломать им

Ребят а по идее же шифровщики шифруют только те файлы расширение которое им известно?

С чего бы?

Ну он же не все файлы у меня пошифровал, к примеру tib не зашифровало, 1С 7.7 не все файлы по шифровало, только с расширением ert.

kot488, не судите по одному примеру. Естественно, что в первую очередь должен пытаться переработать файлы с ценными для пользователя данными, а смысл шифрования, скажем, исполняемых файлов — невелик.

Нашел у себя такой вирус heur backdoor.win32.generic, читаю в инете вроде как шифровальщик и создан был сегодня ночь, хотя никто на машине не работал, все стандартные порты закрыты, на рдп был придуман порт с головы, админские права забраны у всех кроме одной учетки. По авторизации только учетка службы акронис, не ужели в ней вирусня сидит(

KIS уже час крутиться никак вылечить не может

http://savepic.su/6823882.jpg


А вот это уже в логах kis показало

http://savepic.su/6857676.jpg