crylock 2.0.0.0 сервер поймал how_to_decrypt.hta flydragon

[deklan 0]

Добрый день! В одно прекрасное утро перестали открываться файлы общего доступа на сервере. Подключившись к серверу увидел, что все файлы зашифрованы и в каждой папке есть файл "how_to_decrypt.hta" После сканирования диска "С" утилитой Kaspersky Virus Removal Tool было выявлено 3 вируса (скрин во вложении) Помогите дешифровать файлы, если это возможно. Хотелось бы еще узнать, каким образом он мог туда попасть?

логи и файлы.rar

[Sandor 858]

Здравствуйте!

 

К сожалению, расшифровки этой версии нет.

 

7 минут назад, deklan сказал:

каким образом он мог туда попасть?

 

Слишком много администраторов:

Цитата

Admim (S-1-5-21-2779458527-3332761353-1146412090-1016 - Administrator - Enabled) => C:\Users\Admim
User (S-1-5-21-2779458527-3332761353-1146412090-1010 - Administrator - Enabled) => C:\Users\User
User1 (S-1-5-21-2779458527-3332761353-1146412090-1011 - Administrator - Enabled) => C:\Users\User1
User2 (S-1-5-21-2779458527-3332761353-1146412090-1012 - Administrator - Enabled) => C:\Users\User2
User3 (S-1-5-21-2779458527-3332761353-1146412090-1013 - Administrator - Enabled) => C:\Users\User3
User4 (S-1-5-21-2779458527-3332761353-1146412090-1014 - Administrator - Enabled) => C:\Users\User4
User5 (S-1-5-21-2779458527-3332761353-1146412090-1015 - Administrator - Enabled) => C:\Users\User5
Администратор (S-1-5-21-2779458527-3332761353-1146412090-500 - Administrator - Enabled) => C:\Users\Администратор

 

и программ удалённого управления:

Цитата

AnyDesk

Radmin Server 3.4

TeamViewer 6

не считая вероятного подключения через RDP.

Везде меняйте пароли, в т.ч. на учётные записи.

[Sandor 858]

Без ключей такой файл бесполезен. На всякий случай упакуйте его с паролем и отправьте мне в ЛС.

Эту тему закрываю.