Вирус-шифровальщик

Добрый день.
На компьютере был взломан RDP и зашифрованы файлы.
Система осталась работоспособна (по крайней мере, на первый взгляд), следов вируса в запущенных процессах не видно.
Во вложении логи работы AutoLogger
Просьба помочь с расшифровкой и очисткой системы от следов шифровальщика.

Заранее спасибо

Уважаемый(ая) [B]maxbm[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Логи неполные. Сделайте такие.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Также прикрепите в архиве пару зашифрованных файлов и требование о выкупе.

Во вложении:
результаты сканирования FRST - архив CheckResults
образцы зашифрованных файлов - архив cryptedFiles

Следов шифровальщика в системе нет.
Расшифровки тоже.
С таким подходом (вспоминая Вашу предыдущую тему) ломать будут постоянно.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

По результатам дам рекомендации общего характера, как нужно организовать безопасный доступ.

[QUOTE=Vvvyg;1525576]Следов шифровальщика в системе нет.
Расшифровки тоже.
С таким подходом (вспоминая Вашу предыдущую тему) ломать будут постоянно.
[/QUOTE]

Видимо, самоликвидировался шифровальщик. Расшифровывать до обращения в эту тему никто не пытался.
Во вложении результат работы SecurityCheck.
По поводу подхода, тут некоторое недопонимание, полагаю. Я не системный администратор и не специалист по защите и настройке. Я помогаю иногда коллегам, попавшим в беду, сформулировать проблему, собрать сведения и логи и обратиться к вам, как к профи, за помощью. Проблема из прошлой темы как-то решилась, каким образом - я не в курсе.
В данном случае был открыт и активно использовался RDP на стандартном порту - сейчас rdp уже отключен, естественно.
Вам, безусловно, огромное человеческое спасибо за помощь и участие, многих вы просто спасаете.

Смените всем, у кого есть права входа по RDP, пароли, установите сложные.
Уберите права администратора у всех пользователей, кроме тех кому они действительно необходимы, при грамотной настройке прав всем они не нужны. Не будет возможности при проникновении с правами обычного пользователя удалить теневые копии, больше шансов на восстановление файлов после шифрования.
Учёткам Администратор/Administrator/Admin запретить удалённый доступ, для доступа по RDP пользуйтесь другими, с нетипичным, лучше не словарным (типа Natasha, Kirill, User - как в этом случае) именем и сложными паролями.
Включите защиту от буртфорса (подбора) паролей. Простейший вариант - через политики, блокировать учётку на N минут после 3-4 неудачных попыток входа - [URL="http://www.oszone.net/11590/accountpolicy"]Политика блокировки учетной записи[/URL].

Использовать доступ по RDP напрямую из интернета - крайне небезопасно, если не взломают, то заблокируют учётки в процессе подбора паролей.
Лучше использовать тоступ по VPN, сейчас это поддерживают многие даже домашние роутеры.

Кстати, В этом случае ещё и веб-интерфейс роутера доступен из интернета, что совсем не правильно.

Спасибо за развернутый ответ и советы по настройке.
Очистка системы будет заключаться исключительно в удалении зашифрованных файлов? Или что-то следует еще проверить?

Можно в FRST почистить сообщения о выкупе, хвосты Avast и мусор.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
2022-09-02 23:23 - 2022-09-02 23:23 - 000003326 _____ C:\#HOW_TO_DECRYPT#.txt
2022-09-02 23:15 - 2022-09-02 23:15 - 000000000 ____D C:\Users\user\.freerdp
2022-09-02 22:29 - 2022-09-02 22:29 - 000003326 _____ C:\Users\user\Downloads\#HOW_TO_DECRYPT#.txt
2022-09-02 22:29 - 2022-09-02 22:29 - 000003326 _____ C:\Users\user\Documents\#HOW_TO_DECRYPT#.txt
2022-09-02 22:29 - 2022-09-02 22:29 - 000003326 _____ C:\Users\user\#HOW_TO_DECRYPT#.txt
2022-09-02 22:29 - 2022-09-02 22:29 - 000003326 _____ C:\Users\#HOW_TO_DECRYPT#.txt
2022-09-02 22:26 - 2022-09-02 22:26 - 000003326 _____ C:\Users\user\Desktop\#HOW_TO_DECRYPT#.txt
2022-09-02 22:25 - 2022-09-02 22:29 - 000003326 _____ C:\ProgramData\#HOW_TO_DECRYPT#.txt
2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\Public\Downloads\#HOW_TO_DECRYPT#.txt
2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\Public\Documents\#HOW_TO_DECRYPT#.txt
2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\Public\Desktop\#HOW_TO_DECRYPT#.txt
2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\Public\#HOW_TO_DECRYPT#.txt
2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\MSSQL$SQLEXPRESS\Downloads\#HOW_TO_DECRYPT#.txt
2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\MSSQL$SQLEXPRESS\Documents\#HOW_TO_DECRYPT#.txt
2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\MSSQL$SQLEXPRESS\Desktop\#HOW_TO_DECRYPT#.txt
2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\MSSQL$SQLEXPRESS\#HOW_TO_DECRYPT#.txt
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => -> Нет файла
ContextMenuHandlers1_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла
ContextMenuHandlers4_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла
ContextMenuHandlers5_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла
HKU\S-1-5-21-2147634003-2779915254-4021622244-1000\...\Run: [MSFEEditor] => "C:\Users\user\Music\disable\ENC_noFreeProc.exe" e (Нет файла)
HKU\S-1-5-21-2147634003-2779915254-4021622244-1000\...\MountPoints2: {705f7cfb-7c3f-11ec-ab4d-d4bed98f1790} - "G:\Install MegaFon Internet.exe"
HKU\S-1-5-21-2147634003-2779915254-4021622244-1000\...\MountPoints2: {705f7d0d-7c3f-11ec-ab4d-d4bed98f1790} - "G:\Install MegaFon Internet.exe"
HKU\S-1-5-21-2147634003-2779915254-4021622244-1000\...\MountPoints2: {76f0e991-efbd-11ec-a1cc-d4bed98f1790} - G:\AutoRun.exe
HKU\S-1-5-21-2147634003-2779915254-4021622244-1000\...\MountPoints2: {c1e8f8fb-e01e-11e7-84f7-18d6c717a34b} - G:\bootstrap.exe
Task: {92505EAA-6ABB-456A-9976-635340F07DDD} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2250576 2022-05-25] (Avast Software s.r.o. -> Avast Software)
C:\Program Files\Common Files\Avast Software
FirewallRules: [TCP Query User{8A8D9FC8-2BF6-47B1-9E20-7503AC715EE1}C:\users\user\desktop\top\anydesk.exe] => (Allow) C:\users\user\desktop\top\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{9824390F-4E97-49E4-A554-E05898238303}C:\users\user\desktop\top\anydesk.exe] => (Allow) C:\users\user\desktop\top\anydesk.exe => Нет файла
FirewallRules: [TCP Query User{B4A20A5C-B026-4FB0-BB6B-896845BB1710}C:\users\user\desktop\top\новая папка\anydesk.exe] => (Allow) C:\users\user\desktop\top\новая папка\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{64CB4A2E-C219-4C10-B9D4-4BB6199C341E}C:\users\user\desktop\top\новая папка\anydesk.exe] => (Allow) C:\users\user\desktop\top\новая папка\anydesk.exe => Нет файла
FirewallRules: [{14107CB4-4D93-4998-8912-5231C0A602D3}] => (Allow) C:\Users\user\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{AB849DF1-FE45-43D1-ACE2-E266F0BF60F6}] => (Allow) C:\Users\user\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{DC3E060E-F688-45DB-98F0-DB1475C7749B}] => (Allow) C:\Users\user\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [TCP Query User{B5567335-876D-4470-999C-D1A438EFCCA4}C:\users\user\desktop\333\anydesk.exe] => (Allow) C:\users\user\desktop\333\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{4A37F7CE-E860-4A84-B555-5FA6CA93F8AF}C:\users\user\desktop\333\anydesk.exe] => (Allow) C:\users\user\desktop\333\anydesk.exe => Нет файла
FirewallRules: [TCP Query User{85CC3242-61F5-4D1D-B436-D67C5A46065F}C:\users\user\desktop\333\anydesk (1).exe] => (Allow) C:\users\user\desktop\333\anydesk (1).exe => Нет файла
FirewallRules: [UDP Query User{BDC52A50-576C-442B-B916-693B3D3EED5B}C:\users\user\desktop\333\anydesk (1).exe] => (Allow) C:\users\user\desktop\333\anydesk (1).exe => Нет файла
FirewallRules: [TCP Query User{D2C51F85-B00E-423D-83FE-CF7A40D381DD}C:\users\user\desktop\anydesk.exe] => (Allow) C:\users\user\desktop\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{7AD66067-5A7F-47D7-BBC4-D67FD4292190}C:\users\user\desktop\anydesk.exe] => (Allow) C:\users\user\desktop\anydesk.exe => Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
EmptyTemp:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[QUOTE][color=red][b]Контроль учётных записей пользователя [b]отключен[/b][/b][/color][/QUOTE]
Рекомендую ознакомиться со статьёй [URL="http://www.outsidethebox.ms/10034/"]Так ли страшен контроль учетных записей (UAC)?[/URL] и включить.

Невозможно загрузить лог-файл: его размер 1.13мб, а ограничение на общий объем загруженных файлов составляет меньше мегабайта. И файлы от старых запросов непонятно как удалить - они тоже место занимают, хоть и не много.
UPD: после архивирования вложение успешно прикрепилось.
По окончании работы FRST появилось окно о повреждении файла cmd. В автоматическую перезагрузку компьютер не ушел.

[QUOTE=maxbm;1525601]По окончании работы FRST появилось окно о повреждении файла cmd. В автоматическую перезагрузку компьютер не ушел.[/QUOTE]

Всё нормально, в конце фикса некритичная опечатка.

Завершаем.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.