Словили шифровальщика platishilidrochish@fear.pw

[Dima322]

Здравствуйте, предположительно через RDP 02.02 словили вирус на компьютер бухгалтера, все файлы 1с пришли к виду platishilidrochish@fear.pw
Ниже прикрепил файл с логами из FRST и образцами файла
Записки о выкупе нет, только зашифрованные данные 1С и всё. 
Делал проверку через KVRT никаких троянов не обнаружил

test.7z

Addition.txt FRST.txt

Изменено 16 часов назад пользователем Dima322

[safety]

Судя по логам FRST, запуска шифровальщика не было на данном устройстве. Нет характерных следов запуска шифровальщика.

Возможно на данном устройстве были зашифрованы только общие папки, а запуск шифровальщика был на другом устройстве.

Изменено 8 часов назад пользователем safety

[Dima322]

Спасибо, будем дальше значит копать. 

А в логах что именно нужно искать не подскажите, каким образом эти строки выглядят. 

[safety]

В c:\temp должен быть файл с именем session.*