.encrypted файлы на сервере

[deepslam]

Добрый день!

У клиента есть сайт на Jooml'е.
Сегодня он перестал работать и просит денег.
Я думал, что это обычный вирус, ан нет, захожу, а там все файлы стали .encrypted с шифрованным содержимым.
Т.е. буквально все:

.htaccess.encrypted
.php.encrypted

и т.п.

Файлы абсолютно нечитабельные.
Бэкап есть, но все же нужно понять откуда они, повторное заражение нам не нужно.
Никто не сталкивался с этим?

У меня единственное предположение - заражен сам сервер.

Буду благодарен за ответы и помощь!
Спасибо!

 

[c0dex]

Не гадай, смотри логи, анализируй.

 

[deepslam]

Да, изучаю, но пока безрезультатно (

 

[fixxxer]

https://www.google.com/?hl=en#q=linux+ransomware+encrypted
https://www.google.com/?hl=en#q=joomla+vulnerability+2015

 

[fixxxer]

We looked into the way the key and initialization vector are generated by reverse-engineering the Linux.Encoder.1 sample in our lab. We realized that, rather than generating secure random keys and IVs, the sample would derive these two pieces of information from the libc rand() function seeded with the current system timestamp at the moment of encryption. This information can be easily retrieved by looking at the file’s timestamp.

-- https://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/

Бугага. Школота

 

[AnrDaemon]

Школота то школота… Но такое счастье выпадает один раз на миллион.

 

[deepslam]

Спасибо огромное!
Почитаю еще ссылки, нашел инструкцию от Dr. Web как избавляться от этого счастья.
Правильно я понял, что заражен сам Apache? Иначе как он может корректно обрабатывать все это нечитаемое счастье?
Даже .htaccess и тот кодирован весь был.

 

[AnrDaemon]

Не может.