salted2020 Поймал вирус-шифровальщик "ooo4ps"

[Anadartes]

Всем добрый вечер.
Вчера после очередного обновления 1С, примерно в 20:30 - 20:40 на выделенный удаленный сервер подхватили шифровальщика, проблему заметил сегодня с утра, сервер был перезагружен, когда я вошел в него, увидел что половина моих файлов, в том числе и базы 1С приняли расширение "OOO4PS" после этого, соответственно, базы перестали открываться, все нужные файлы были заражены, автоматически открылся файл об выкупе от мошенников, подскажите, пожалуйста, какое то решение проблемы.
Все необходимые файлы прикладываю, если нужно что то еще, готов дополнить.

Addition.txt FRST.txt Помощь.rar

[safety]

Дополнительные диски были зашифрованы Bitlocker или нет?

 

Если систему сканировали KVRT, Cureit или штатным антивирусом,

2025-12-23 10:43 - 2025-12-23 10:43 - 000000000 ____D C:\Users\Администратор\Doctor Web
2025-12-23 10:42 - 2025-12-23 10:44 - 280921152 _____ C:\Users\Администратор\Desktop\fgvrhzye.exe

добавьте отчеты по сканированию, в архиве. без пароля.

Изменено 4 часа назад пользователем safety

[Anadartes]

Прикладываю отчет с Cureit, он угроз не обнаружил, еще при первом сканировании, сейчас тоже не обнаружил ничего
Дополнительные диски с бекапами не были затронуты, заразили только системный диск С:

cureit.rar

Изменено 1 час назад пользователем Anadartes

[safety]

Судя по логу Cureit ничего не найдено.

Total 8967776021 bytes in 27067 files scanned (30501 objects)
Total 27211 files (30501 objects) are clean
There are no infected objects detected
Scan time is 00:03:18.744

----------

Где то здесь начало шифрования.

2025-12-22 20:27 - 2024-08-22 13:25 - 000000940 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt

Проверьте, есть ли какие то исполняемые файлы(exe, bat, ps1, vbsm cmd) на системном диске, которые были созданы около этого времени

2025-12-22 20:15 - 2025-12-22 20:18 - 3324222032 _____ C:\Users\Администратор\Downloads\1Cv8.dt.ooo4ps

 

можно так же проверить среди удаленных файлов.