Вирус шифровальшик. Нужна помощь.

Форум Администрирование Общие вопросы администрирования (Admin)

1. user1388866 26.02.21 14:54 Сейчас в теме

Добрый день. На сервер проник вирус шифровальшик. Никакие файлы не запускались, поскольку произошло в ночное время, когда пользователи точно не работают. Все файлы зашифрованы с расширением FSOCIETY. LicData_10РМ.txt.Id = [FF67A2A] Send To Email=[Elliot.Alderson@mailfence.com].FSOCIETY. Что с этим можно сделать? Какие способы решения? Имеется текстовый файл с запросом выкупа.

Ответы

Подписаться на ответы Инфостарт бот

Свернуть все

13. pyrkin_vanya 488 26.02.21 15:40 Сейчас в теме

(1)у меня у двух клиентов было такое. В обоих случаях заплатили.

14. starjevschik 26.02.21 17:13 Сейчас в теме

(13) у меня один клиент заплатил, но ничего в ответ не получил.
Начал новую жизнь с чистого сервера.

15. pyrkin_vanya 488 26.02.21 18:18 Сейчас в теме

(14)у моих благо обошлось. Причем мошенник оказался очень порядочным. Даже выслал рекомендации чтобы подобного избежать в будущем))) причем могу заметить, что суммы разные и скорее всего посчитаны каким то способом исходя из данных базы. В первом случае продажа текстиля. Сумма 30к рублей. Практически отсутствие доработок. Короче с горем но выжили бы. А у второго грузоперевозки. Доработок за два года. И им выставили 2к долларов. Без этой базы повязли бы в судах. Отсюда и выводы мои.

20. pavel06 2 28.02.21 23:10 Сейчас в теме

(1)

На сервер проник вирус шифровальшик. Никакие файлы не запускались, поскольку произошло в ночное время, когда пользователи точно не работают.

По волшебству проникать не умеет. По сети обычно сам собой не распространяется.
Не иначе как на сервере расположены ящики с почтой и вирусной ссылкой
или браузеры для интернета и был безалаберный терминальный пользователь, который нажал и через некоторое время вы получили.результат.

2. Nubsdale 26.02.21 15:00 Сейчас в теме

бэкап из резервной копии - единственное решение

3. Online-Ufa 26.02.21 15:06 Сейчас в теме

второе решение - заплатить

4. Torin 753 26.02.21 15:09 Сейчас в теме

третье решение - забить :) и ехать дальше

5. SerVer1C 763 26.02.21 15:13 Сейчас в теме

смотря какой шифровальщик - для простых можно найти утиль с сайтов антивирей, которые могут расшифровать.

8. user1388866 26.02.21 15:27 Сейчас в теме

(5) Диагностика от антивируса шифровальщик Trojan.Encoder.28501 и помочь они ничем не могут

9. Bukaska 140 26.02.21 15:29 Сейчас в теме

(8)Какого? Пробуйте обратиться на сайт фан-клуба лаборатории Касперского, там ребята постоянно пробуют

6. Aftee 26.02.21 15:15 Сейчас в теме

В полку делающих резервные копии прибыло

7. user1388866 26.02.21 15:26 Сейчас в теме

(6) Бэкапы делались ежедневно. Одна беда, делались на том же сервере, просто на другом физическом диске...

10. SerVer1C 763 26.02.21 15:30 Сейчас в теме

(7) Подобные зловреды шифруют только малую часть файла ради быстродействия (обычно несколько байт в начале и/или в конце файла). Так что некоторые файлы могут быть достаточно просто восстановлены )

11. Bukaska 140 26.02.21 15:31 Сейчас в теме

(7)Ээээхъ.. толку то ноль от этого.. шифровальщик берет всё...

12. SlavaKron 26.02.21 15:31 Сейчас в теме

Отключить диск и проанализировать его в пассивном режиме на наличие физических незашифрованных данных.

17. user1388866 27.02.21 20:17 Сейчас в теме

(12)

Отключить диск и проанализировать его в пассивном режиме на наличие физических незашифрованных данных.

Подскажите каким ПО можно осуществить данные манипуляции?

21. SlavaKron 01.03.21 18:46 Сейчас в теме

(17) Для начала любой программой, умеющей восстанавливать файлы по сигнатуре. Если заполненность диска была не велика, то зашифрованные файлы скорее всего писались на свободное место.

16. Nigmatul 26.02.21 20:33 Сейчас в теме

Купить подписку на антивирус и в рамках подписки услуга по расшифровке

18. user1388866 27.02.21 20:18 Сейчас в теме

(16)

ирус и в рамках подписки услуг

Направил запрос, посмотрим что ответят

19. user856012 13 27.02.21 20:33 Сейчас в теме

(18)

посмотрим что ответят

Скорее всего, что расшифровке не подлежит: это ранние шифровальщики пользовались фиксированным (одним для всех) ключом для кодирования/декодирования, так что дизассемблировав вирус или один раз купив декодер, можно было выделить этот ключ и помочь всем жертвам.

А нынешние (и уже давно) для каждого "клиента" используют уникальный ключ, который каждый раз получают от хозяина, так что даже на зашифрованном компе он нигде не хранится, а для других пострадавших не подойдет - короче, расшифровать файлы может только автор вируса.

Так что я бы не особо рассчитывал на удачу, но рад буду ошибиться!

Оставьте свое сообщение

E-mail: