Как попал вирус - не понятно. Возможно через дырявый apache, IIS или RDP. Исполняемый скрипт был в папке на системном диске C:\Logs\
Был создан пользователь apache с админ.правами. а далее:
RiskWare.Agent.E, C:\LOGS\1.BAT,
RiskWare.Agent.E, C:\LOGS\HIDE.BAT,
RiskWare.Agent.E, C:\LOGS\SRVAN.EXE,
RiskWare.Agent.E, C:\LOGS\1.VBS,
RiskWare.Agent.E, C:\LOGS\HIDE.VBS,
RiskWare.Agent.E, C:\LOGS\GO.VBS,
RiskWare.BitCoinMiner, C:\USERS\APACHE\DESKTOP\MGP.EXE,
Ransom.FileCryptor, C:\USERS\APACHE\DESKTOP\SVHOST.EXE
После обнаружения неработоспособности веб-службы и наличие зашифрованных файлов запустил Malwarebytes, который и обнаружил скрипты. Все они были перенесены в карантин. Очень надеюсь на вашу помощь. Зашифрованы все архивы, txt, docx на всех носителях. Вместо нормального файла - 2 новых. Один с прежним названием, который не открывается, а второй прежнее название+.SN-8973224807184923-kiaracript%40gmail.com
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) basta1, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Ответить с цитированием
