.encrypted файлы на сервере?

Question

[Денис Васильев]

Есть сайт gostender.ru. На днях перестал работать и просит денег.
Я думал, что это обычный вирус, ан нет, захожу, а там все файлы стали .encrypted с шифрованным содержимым.
Т.е. буквально все:
.htaccess.encrypted
.php.encrypted

Файлы абсолютно нечитабельные.
Бэкапов нет и все же нужно понять откуда они, повторное заражение нам не нужно.
Никто не сталкивался с этим?

Answer 1

[Станислав Третьяков]

Для Windows подобный вирус давно существует, но осенью 2015 появился вирус-шифровальщик и для Linux. Делает он именно то, что вы описали и требует оплаты, после которой вам высылается ключ для расшифровки. И обычно просят оплачивать криптовалютой - биткойнами. Месяца два назад это был 1 биткойн, около 30 тысяч рублей получается. Мой друг не стал платить, обновил систему сервера и проверил файлы сайта, пока что все в порядке. В англоязычном интернете писали, что проникновение вируса не связано с файлами сайта, а имеет иной характер происхождения. Возможно, какой-то софт, поэтому можно посоветовать лишь более внимательно относится к его установке и настройки.

P.S. А то, что нет бэкапов, это не тру :)

Answer 2

[Владимир Мартьянов]

Linux.Encoder.1-3 это наверняка. Сталкивались. Используются дыры в CMS и прочем. Расшифруете логи - сможете точно посмотреть.