Зашифровали файлы на сервере 2012 r2

[m.tym]

Здравствуйте. Зашифровали файлы на сервере 2012 R2. 

Самое важное это база 1C)

 

Открывается вот это сообщение.

 

Decrypting your files is easy. Take a deep breath and follow the steps below. 

1 ) Make the proper payment. 

Payments are made in Monero. This is a crypto-currency, like bitcoin.

You can buy Monero, and send it, from the same places you can any other

crypto-currency. If you're still unsure, google 'monero exchange'. 

 

Sign up at one of these exchange sites and send the payment to the address below.

 

Payment Address (Monero Wallet): 

 

45eRCyNYwcs15xGKL6Y6xg88BccgLd3z6M6XRKmhnMi3REVHzgBPk1nHUn3jQ2S2f6XwC6jzQcH2SjM81jCNYKtMQvGvcbi

 

2 ) Farther you should send your ip address to email address sqqsdr01@keemail.me

Then you will receive all necessary key. 

 

Prices :

Days : Monero : Offer Expires 

0-2  : 500$  :  10/25/18 

3-6  : 1000$ : 10/29/18

 

Note: In 7 days your password decryption key gets permanently deleted. 

You then have no way to ever retrieve your files. So pay now.

 

 

 

 

Файлы FRST и Addition прикрепляю.

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[m.tym]

Сейчас соберу автологером, этот файл из предыдущего сообщения.

Проверка KVRT ничего не нашла. Лог с Avtologger прикрепляю.

Desktop.rar

CollectionLog-2018.10.24-14.05.zip

[Sandor]

Один из файлов DECRIPT_FILES.txt вместе с несколькими небольшими зашифрованными документами упакуйте в архив и прикрепите к следующему сообщению.

 

"Пофиксите" в HijackThis:

O4 - Startup other users: C:\Users\ADokuchaev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\AKondratov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\AOsipov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\ESmarigina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\KVolchanina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\NShavekin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\User-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\User-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - User Startup: C:\Users\MKorablev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt

Перезагрузите компьютер и соберите свежий CollectionLog.

[m.tym]

Один из файлов DECRIPT_FILES.txt вместе с несколькими небольшими зашифрованными документами упакуйте в архив и прикрепите к следующему сообщению.

 

"Пофиксите" в HijackThis:

O4 - Startup other users: C:\Users\ADokuchaev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\AKondratov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\AOsipov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\ESmarigina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\KVolchanina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\NShavekin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\User-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\User-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - Startup other users: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt
O4 - User Startup: C:\Users\MKorablev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRIPT_FILES.txt

Перезагрузите компьютер и соберите свежий CollectionLog.

 

 

Пофиксил, но решил не маяться, восстановил с NAS хранилища Acronisом бэкап, правда позавчерашний. Вечерний не смог забэкапиться из за этой атаки. Спасибо за ответы.