Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Взлом или вирус со взломом: зашифрованы файлы (http://forum.oszone.net/showthread.php?t=293934)

Graimes 15-01-2015 01:03 2456214
Взлом или вирус со взломом: зашифрованы файлы
 
Доброго вечера.
У одного клиента случился весьма неприятный казус. После продолжительного новогоднего гуляния обнаружилось, что все сервера "взломаны" и вся информация на них превратилась в шифрованные файлы, соответствующие названию папки. Например, если папка называлась 1С, то она была удалена и вместо нее остался файл 1C (directory) с соответствующим ранее существовавшей папке объемом. Но так только с определенными папками с данными. Требований, как это бывает при вирусах-шифровальщиках не осталось, явно сервер был "взломан". А точнее, предыдущий системный администратор зашел и порезвился, а новый прохлопал ушами и теперь огребает. Заранее скажу, что бэкапы тоже были почти все удалены или зашифрованы, кроме старых копий, сохраненных на внешний носителях.
Так вот. Не могу понять, чем были зашифрованы файлы. Сначала грешил на true crypt, но уже не уверен - у всех бывших папок одинаковая приписка и совпадающий с папкой размер - видимо, что-то более автоматизированное. В какую сторону тут можно копать, помимо окунания в салаты админов и много крови литья слез над файлами? Буду благодарен любой помощи.
Попробовал восстановить удаленные файлы, не дало ничего. Видимо, прочистили еще диск. Логи все тоже опустошены.
Машины - 3 сервера Win2003 x32, 2 Win2008 R2.

thyrex 15-01-2015 19:41 2456614
http://forum.oszone.net/thread-98169.html


Время: 18:27.

Время: 18:27.
© OSzone.net 2001-