Взломали корпоративный сервер и требуют выкуп.

Сегодня с утра был обрадован на email письмом следующего содержания:


"Здравствуйте. Ваш сервер надежно ширование.Вся информация так-же находится на Ваших серверах,(Шифровать не файлы, шифровать диск! Если Вы форматировать Ваш диски, вы потерять возможность восстановить информация!). Для доступ к информация требуется пароль.

Стоимость пароль много меньше чем время и работа восстановить работа сервер, базы и файлы, так же я показать Ваши слабые места в безопасность, что бы больше не был взлом!

Попытка расшифровать лично, не быть успех, диски зашифрован надежно.

После получения пароля Вы сразу получаете рабочий сервер, расшифровка можно делать параллельно с работой сервер в рабочем режиме.

Если Вы интерес расшифровать Ваш сервер на, mail ......@yandex.ru

мне Ваш ID 0021, Я выслать дальше инструкции.

Важная информация с Ваш сетевой диск Dlink был скопирован на сервер. Сетевой диск форматировать и затереть!"


Требуют денег в размере 0,05 BTC:

"Так же прислать Вам инструкция по расшифровать данные, удалить программа шифрования и инструкция по безопасность Ваш сервер.""


Я не админ и к айти не имею никакого отношения, адрес видимо взяли из доков, хранившихся на серве (админ тоже получил, как и несколько других получателей).


Кто-нибудь сталкивался с подобным? Имеет ли смысл платить, или диск просто затёрли и данных всё равно не вернуть? Есть ли варианты recovery с внешнего носителя?


Спасибо.

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.


Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

6
Автор поста оценил этот комментарий

текущий админ за зп, не? :)

раскрыть ветку (1)
6
Автор поста оценил этот комментарий

за спасибо

показать ответы
28
Автор поста оценил этот комментарий
Бэкапы надо делать :)
раскрыть ветку (1)
7
Автор поста оценил этот комментарий

Спс, кэп. Я то свою рабочую дркументацию бэкаплю в 2 облака и качаю на домашний хард. Почему сисадмин не заморачивался резервами - хз.

показать ответы
12
Автор поста оценил этот комментарий

С хуяли?

С каких пор сетевая безопасность его обязанность?

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Т.е. на штат в 15 сотрудников и 15 компов нужен сисадмин, технарь и спец по безопасности, по-Вашему?

показать ответы
Автор поста оценил этот комментарий

Дескать система с окном ввода пароля разблокировки не показывается?

раскрыть ветку (1)
5
Автор поста оценил этот комментарий

Вот после "настройки текущими админами за зп" и происходит вот такая вот хуйня.

раскрыть ветку (1)
Автор поста оценил этот комментарий

а за что должен работать админ? я не в курсе

показать ответы
1
Автор поста оценил этот комментарий
А можно с ним как-то связаться? Уже давно идея есть, чтобы кто-то попробовал нашу организацию взломать снаружи и указать на ошибки безопасности. Естественно, не за спасибо)
раскрыть ветку (1)
Автор поста оценил этот комментарий

ru9944@yandex.ru

Автор поста оценил этот комментарий

А показывает, что занято места 0 из 0? Честно говоря так просто не помочь удаленно. Вам остается надеяться на своего админа или на злоумышленика... если решите отправлять деньги. Кстати они часто соглашаются на меньшую сумму. но я бы советовал с ними связываться, только если инфа на жестком жизнено необходима для существования организации.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Вроде да, 0 из 0. Ставить диагноз по удалёнке - плохая задача :), так что спасибо. Не уверен, что админ или иные товарищи смогут обойти шифрование (или что там натворили), если его делал не школьник "кулхацкер". А квантового компа, который может взломать код, у нас нет :(

Автор поста оценил этот комментарий

Понятно. ОС винда, я так понял? А если зайти в мой компьютер система видит  жесткий? Букву присваивает? Или жесткий видно через управление дисками?

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Виндосервер, вроде. При подключении к другому компу хард был обнаружен (в т.ч. логические диски), насколько я вижу трепыхания нашего одмина и его бурчание в попытках что-либо поднять.

показать ответы
Автор поста оценил этот комментарий

И никто не спросил как выглядит то сейчас система. Показывает какое-то окно для ввода пароля или вообще не запускактся или .. ?

раскрыть ветку (1)
Автор поста оценил этот комментарий

Предлагает форматнуть хард. Я нуб, но похоже загрузочный сектор (или как он там нзывается) зашифрован.

показать ответы
Автор поста оценил этот комментарий

Т.е. сам хард определяется нормально? А файловую систему можно посмотреть? Я имею ввиду как ОС видит файловую систему... ntfs там или ext. Или никакой разметки нет и система просто предлагает отфарматировать жесткий?

раскрыть ветку (1)
Автор поста оценил этот комментарий
никакой разметки нет и система просто предлагает отфарматировать жесткий?

вот так

показать ответы
3
Автор поста оценил этот комментарий

правый клик по файлу --Свойства ---- предыдущие версии, легкий способ возвращения файлов

раскрыть ветку (1)
Автор поста оценил этот комментарий

Зашифрован хард серва и внешнее хранилище, которое к нему подключено. Т.е. доступа нет к файловой системе (как и серваку) от слова совсем.

показать ответы
DELETED
Автор поста оценил этот комментарий
Подведя итого ТС стоит обратиться к специалистам и все)
раскрыть ветку (1)
Автор поста оценил этот комментарий

Т.е. к взломщикам :)? И взять на работу на аутсорс вместо админа.