Взлом или вирус со взломом: зашифрованы файлы

Взлом или вирус со взломом: зашифрованы файлы

Graimes

Новый участник

Сообщения: 12
Благодарности: 0

Доброго вечера.
У одного клиента случился весьма неприятный казус. После продолжительного новогоднего гуляния обнаружилось, что все сервера "взломаны" и вся информация на них превратилась в шифрованные файлы, соответствующие названию папки. Например, если папка называлась 1С, то она была удалена и вместо нее остался файл 1C (directory) с соответствующим ранее существовавшей папке объемом. Но так только с определенными папками с данными. Требований, как это бывает при вирусах-шифровальщиках не осталось, явно сервер был "взломан". А точнее, предыдущий системный администратор зашел и порезвился, а новый прохлопал ушами и теперь огребает. Заранее скажу, что бэкапы тоже были почти все удалены или зашифрованы, кроме старых копий, сохраненных на внешний носителях.
Так вот. Не могу понять, чем были зашифрованы файлы. Сначала грешил на true crypt, но уже не уверен - у всех бывших папок одинаковая приписка и совпадающий с папкой размер - видимо, что-то более автоматизированное. В какую сторону тут можно копать, помимо окунания в салаты админов и ~~много крови~~ литья слез над файлами? Буду благодарен любой помощи.
Попробовал восстановить удаленные файлы, не дало ничего. Видимо, прочистили еще диск. Логи все тоже опустошены.
Машины - 3 сервера Win2003 x32, 2 Win2008 R2.

Отправлено: 01:03, 15-01-2015

thyrex

Странствующий хэлпер

Сообщения: 2242
Благодарности: 634

Профиль | Отправить PM | Цитировать

http://forum.oszone.net/thread-98169.html

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи