1

Тема: Вирус шифрует все данные на сервере))

Утром пришли и обнаружили такую беду...все файлы на сервере зашифрованы расширение стоит.qwerty и везде файл ТХТ как расшифровать типа отправьте письмо на мейл и мы расшифруем вам данные.

2

Re: Вирус шифрует все данные на сервере))

Охренеть, наглые вирусы пошли! Что за операционка на сервере? Файлы зашифрованы явно не все, раз ОС загрузилась. Что предпринималось на сервере для защиты от вирусов?

Здесь дважды два не четыре, а около четырех, да и то лишь в ясную погоду. Андрей Лазарчук «Транквилиум»

Был этот мир глубокой тьмой окутан.
Да будет свет! И вот явился Ньютон.
Но сатана недолго ждал реванша.
Пришел Эйнштейн - и стало все, как раньше.

3 (2013-11-12 06:25:23 отредактировано Nistur)

Re: Вирус шифрует все данные на сервере))

Такой текст письма:?

Доброго времени суток!
Доносим до Вас не самую приятную новость, ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере были зашифрованы с помощью самых криптостойких алгоритмов.
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес Alex67584@mail.ru для получения дальнейших инструкций.
Среднее время ответа специалиста 1-6 часов.
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

По классификации DrWeb, это действие Trojan.Encoder
Для зарегистрированных пользователей DrWeb оказывает бесплатную помощь

Форум DrWeb (Сообщение Dr.Robot что делать):
Вирус зашифровал файлы

С форума Virus INFO предлагают ссылку на дешифровальщик от DrWeb te94decrypt.exe:
Вирус шифровальщик .qwerty
(С ключом 387: te94decrypt.exe -k 387 или te94decrypt.exe -k 387 -path D:\Path )

http://forum.kaspersky.com/index.php?sh … &st=20
(С ключом 389: te94decrypt.exe -k 389 )

Доброго времени суток! Борис aka Nistur

4 (2013-11-11 14:38:33 отредактировано z668)

Re: Вирус шифрует все данные на сервере))

Ну как бы AES-ом зашифрован, пробуйте пароли и декриптор. В корне диска С должен быть файл crypted.txt, в нем примерно такое содержимое:

Your files have been encrypted!

The decryption utility costs 10$!

More:

http://decryptor.******

E-mail: decryptor2008@******

ICQ: *******

S/N BF_3-pUChT$+bm5

Do not delete or modify the file!!!

Ни в коем случае его не удаляйте. Лучше сделайте бекап, ключ везде индивидуальный т.к. вот эта строка: S/N BF_3-pUChT$+bm5 это серийный номер какого то компонента (винта, материнки и т.д.) компьютера (зашифрованный тоже в AES). Я бы посоветовал в Dr.WEB обратиться если информация ценная.

5

Re: Вирус шифрует все данные на сервере))

vektor48 пишет:

Утром пришли и обнаружили такую беду...все файлы на сервере зашифрованы расширение стоит.qwerty и везде файл ТХТ как расшифровать типа отправьте письмо на мейл и мы расшифруем вам данные.

Как предполагаете эта инфекция к вам попала?

Доброго времени суток! Борис aka Nistur

6

Re: Вирус шифрует все данные на сервере))

Nistur пишет:
vektor48 пишет:

Утром пришли и обнаружили такую беду...все файлы на сервере зашифрованы расширение стоит.qwerty и везде файл ТХТ как расшифровать типа отправьте письмо на мейл и мы расшифруем вам данные.

Как предполагаете эта инфекция к вам попала?

ИМХО RDP и слабый пароль) Ну по крайней мере обычно так.

7 (2013-11-12 11:29:54 отредактировано Nistur)

Re: Вирус шифрует все данные на сервере))

z668 пишет:

ИМХО RDP и слабый пароль) Ну по крайней мере обычно так.

Из моей практики рабочие станции в сети обычно заражались через общие папки серваков (сами серверы были не заражены), с какого-нибудь "слабого звена", на которым неосмотрительно заюзалась зараженная флеха или шарились в инете где-попало.

Был один случай заражения сервака и всех компьютеров в сети вирусом sality (заражает все экзешники). Виноват был пришлый рограммист, обслуживающий бухгалтерскую программу, занесший sality со своей флешки, поработав непосредственно на сервере. И, не кстати, закончился срок пиратского ключа антивирусника на всех компах wink

Заражения через RDP пока не встречал, тьфу-тьфу.

Доброго времени суток! Борис aka Nistur

8 (2013-11-15 16:22:30 отредактировано vektor48)

Re: Вирус шифрует все данные на сервере))

Прощу прощения за поздний ответ..проблему решилась...качнул te94decrypt  и с ключом -к 387 все файлы расшифровались...попала гадость на сервер из-за слабого пароля РДП

9

Re: Вирус шифрует все данные на сервере))

И я попал на эту радость. На работе начальница поймала "письмо счастья". Ни ДрВебовский дешефратор, ни Касперского не помогли. Пока даже не знаю что делать. Видимо попал на свежую разновидность.

10

Re: Вирус шифрует все данные на сервере))

Совесть пишет:

И я попал на эту радость. На работе начальница поймала "письмо счастья". Ни ДрВебовский дешефратор, ни Касперского не помогли. Пока даже не знаю что делать. Видимо попал на свежую разновидность.

Совесть, там в AES шифруется, тот дешифратор не универсален и разработан только под один алгоритм. Если есть лицензия от DrWEB - зашли им файл на анализ, это самое дешевое решение.

11

Re: Вирус шифрует все данные на сервере))

Лицензии нет. В понедельник попробую пройтись еще раз всеми дешифраторами.

12

Re: Вирус шифрует все данные на сервере))

Совесть пишет:

В понедельник попробую пройтись еще раз всеми дешифраторами.

Получится не получится, а попробуй еще te94decrypt с ключом 371: te94decrypt.exe -k 371
Мож повезет, кое-у кого с 371 получилось расщифровать...

Доброго времени суток! Борис aka Nistur

13

Re: Вирус шифрует все данные на сервере))

Попробовал. Эти гады обновили версию своего трояна. Стали использовать индивидуальные шифры для каждого зараженного компьютера. Шифры AES.

Замечательное достижение криптологов в плохих руках.

Сам троян попался MSE, после Особой проверки. Но было уже поздно. Предположительно заражение произошло через и-мэйл.