Jump to content
Sign in to follow this  
Konstаntin

По поводу шифровальщиков

Recommended Posts

Добрый день!

Хочется поделиться горьким опытом.

Нам в организацию на сервер просочился шифровальщик "decrypthelp@qq.com" в результате чего большая часть файлов системы и важных файлов на диске была зашифрована.
Для дешифровки данных директор принял решение, чтобы не терять время на восстановление данных, заплатить злоумышленникам (далее террористам)
Сумма была заявлена не детская, однако пришлось, скрепя зубами, перевести деньги (в виде биткоинов) на счет террористов.
После оплаты нам скинули программку для создания "файла-запроса", который нужно было отправить террористам для получения "файла-ответа".
После отправки "файла-запроса" террористы прислали сообщение типа: "Теперь для перехода к последнему шагу требуется еще заплатить треть недетской суммы".
Проверять последний это шаг или не последний - мы не стали. Так и остались с зашифрованным сервером и с потраченной недетской суммой в пустую.

Хочется предостеречь всех.

Не платите и не общайтесь с террористами.

Это чистой воды вымогатели!
 

Share this post


Link to post

Да, расскажите, пожалуйста, что стояло на сервере и как туда проник вирус. Интересно же.

Share this post


Link to post

Действительно, тут нужно разбираться как так получилось, что шифровальщик проник на сервер... что за продукт стоял на сервере.
Может он не на сервер проник, а зашифровал расшареный сетевой ресурс с инфицированной рабочей станции.

Share this post


Link to post

Скорее всего был пойман какой-то вирус на одну из рабочих станций, через которую долго и нудно подбирался админский пароль на сервер.
На сервере стоял KSOS. Но т.к. шифровальщик был запущен из под записи с админскими правами по RDP, то думаю, что что бы не стояло - не помогло бы.
Судя по логам они 3 или 4 раза обрубали работу KSOS, а тот ровно через секунду запускался заново, видимо какой-то из секунд хватило.
Файлы пришлось собирать по частям из бэкапов на других компах (до сих пор собираем). Винда Сервер 2016 сдохла намертво.
Надеемся, что в Лаб. Касперского поможет с восстановлением файлов, т.к. некоторые очень важные файлы восстановить не удалось.
Мы передаем абсолютно всю возможную инфу в Лаб. Касперского

А с этими уродами шифровальщиками советую даже не заводить разговор, а сразу же желать им скорейшего возникновения у них рака ануса, на лечение которого они потратили бы все украденные деньги и все равно его не вылечили бы

Edited by Konstаntin

Share this post


Link to post
58 минут назад, Konstаntin сказал:

На сервере стоял KSOS.

А режим Default Deny там был включен?

 

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.