Доброго дня! Сегодня столкнулись с проблемой вирус-шифровальщика

[kaje_14]

Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.

Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.

Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 

Никакого текста с вымоганием пока не нашёл.

Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt

Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar

[kmscom]

Нужен отчет в соответсвии https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi

 

[safety]

1 час назад, kaje_14 сказал:

Никакого текста с вымоганием пока не нашёл.

Attention.hta - это и есть записка о выкупе.

 

Цитата

Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.

Этот ПК тоже зашифрован?

+

проверьте ЛС.

 

Изменено 1 час назад пользователем safety