Здравствуйте! Столкнулся с последствиями деятельности шифровальщика. Переживаю за последствия, а также из-за того, что не понимаю, какие действия к этому привели. Если судить по дате и времени изменения файлов, самого ночью дома не было, и вроде бы компом никто не пользовался. Зашифрованы *.zip файлы на шаре, которая крутится на домашнем NAS на Windows 2016. Пострадали файлы только в одной папке, частично, за интервал времени 3-4 минуты, потом будто процесс остановился. У файлов добавилось в расширении [email protected], в корневом оставлено письмо с вымоганием. Помогите, пожалуйста проанализировать, как такое могло произойти, и, по возможности, побороть последствия.

Уважаемый(ая) neuroknot, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи (https://virusinfo.info/pravila.html).

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+ (https://virusinfo.info/content.php?r=613-sub_pomogite).

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект (https://virusinfo.info/content.php?r=113-virusinfo.info-donate).

Пострадали файлы только в одной папке, частично

Папка эта расшарена? Есть вероятность. что шифровать могли по сети с другого домашнего устройства?

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe (https://virusinfo.info/showthread.php?t=7239):
begin
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.
В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).


O27 - Account: (RDP Group) User 'Администратор' is a member of Remote desktop group
Крайне не рекомендуется использовать учётку встроенного администратора, тем более, давать ей права удалённого доступа. Нужно использовать другого пользователя с административными правами, а встроенного - отключать.

Папка эта расшарена? Есть вероятность. что шифровать могли по сети с другого домашнего устройства?
Расшарен диск с папкой, которая подверглась воздействию шифровальщика, на NAS под Windows Server 2016, шара по SMB. К ней имеют доступ по 2-3 компьютера. Вполне могли шифровать с любого из них.


Крайне не рекомендуется использовать учётку встроенного администратора, тем более, давать ей права удалённого доступа. Нужно использовать другого пользователя с административными правами, а встроенного - отключать.

Понял. Устраню. Спасибо большое за ответ и рекомендации! Если требуется, соберу информацию со всех компьютеров.

Events.7z (https://1drv.ms/u/c/a4a58921c2d32b7a/EdyooAi67ftJtrEHbzIV-pYB3w9BMmR-oCgRkXTilOyjug?e=o4nXjf)
FRST.zip (https://1drv.ms/u/c/a4a58921c2d32b7a/Ecq4EwT-nd1KsabCFF1JYxoByac7bxhpgPkJrCTKD5DNsg?e=AeXZYd)

Папка эта расшарена? Есть вероятность. что шифровать могли по сети с другого домашнего устройства?
Расширен диск с папкой, содержимое которой которая подверглась воздействию шифровальщика. Папка находится на NASA на Windows Serfver 2016, расшарена по SMB. К сетевому диску имеют доступ 2-3 компьютера. Шифрование, видимо, могло проводится с любого из них. Для меня главная интрига, запущен зловред пользователем с местной машины, или же настолько все плохо, что это сделали по удаленке в том или ином виде?


Крайне не рекомендуется использовать учётку встроенного администратора, тем более, давать ей права удалённого доступа. Нужно использовать другого пользователя с административными правами, а встроенного - отключать.

Ясно. Устраню. Спасибо за ответ!

Events.7z (https://1drv.ms/u/c/a4a58921c2d32b7a/EdyooAi67ftJtrEHbzIV-pYB3w9BMmR-oCgRkXTilOyjug?e=sTi2jA)
FRST (https://1drv.ms/u/c/a4a58921c2d32b7a/Ecq4EwT-nd1KsabCFF1JYxoByac7bxhpgPkJrCTKD5DNsg?e=hdZ8LL)

Недоступны ссылки на логи.