Better_call_saul Все очень плохо.

[Savin]

Доброго времени суток. Сотрудник открыл почту и запустил ".rar" файл. Далее по его словам пошла установка. По итогу  на следующий день обратились ко мне, когда на компьютере были зашифрованы все диски включая два сетевых.

 

Текст README1.

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

93A68DFF3FD7709A1160|430|3|10

на электронный адрес Korzhenevskiy.Kirsan@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь резервным адресом. Его можно узнать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptorzimsbfbkx.onion/

и нажмите Enter. Загрузится страница с резервными email-адресами.

2) В любом браузере перейдите по одному из адресов:

http://cryptorzimsbfbkx.onion.to/

http://cryptorzimsbfbkx.onion.cab/

У пользователя стоит Антивирус Касперского 6.0 для Windows Workstations 6 (имеется пакет для установки KES 10, с лицензией, но не был установлен) Подключен к групповой политике, в которой включен  почтовый антивирус, но с рекомендуемым уровнем безопасности... наверное нужно было ставить Глубокий. 
На сервере администрирования стоит Kaspersky Security Center. 

Addition.txt

FRST.txt

KL_syscure.zip

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Savin]

Autologger

 

CollectionLog-2016.04.01-09.48.zip

[Sandor]

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README9.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README8.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README7.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README6.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README5.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README4.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README3.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README2.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README10.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\Public\Desktop\README1.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README9.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README8.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README7.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README6.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README5.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README4.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README3.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README2.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README10.txt
2016-03-31 10:33 - 2016-03-31 10:33 - 00002728 _____ C:\Users\6317-40-741\Desktop\README1.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README9.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README8.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README7.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README6.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README5.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README4.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README3.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README2.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README10.txt
2016-03-30 17:05 - 2016-03-30 17:05 - 00002728 _____ C:\README1.txt
2016-03-30 16:54 - 2016-03-31 10:58 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-03-30 16:54 - 2016-03-31 10:58 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Savin]

Спасибо. Было принято решение о переустановке виндовс 

[Sandor]

Ваше дело, конечно, но это лишнее.

[Savin]

Полностью согласен. 
Кстати совсем вылетело из головы... сетевые диски тоже ведь были зашифрованы, но не полностью.
Сейчас на сервере имеется небольшая часть зашифрованных данных, это именно те, которые были расшаренны на организацию. 
Есть возможность заражения всего сервера? Мне кажется, что нет...вот верно ли это?

[Sandor]

Верно. Шифровщик как правило самоуничтожается.

[Savin]

Удивлен оперативности, если честно)  Спасибо Вам!

[Sandor]

Удачи!