Шифрование файлов на сетевом диске

[ManQuest]

Добрый день. Зашифровались файлы на сетевой папке, остальные файлы на локальном диске все ок. После шифрования создались еще файлы Recovery.hta и txt с требованиями. Документы видимо пересоздались с 0 весом, и появились с таким же названием зашифрованные. Ссылка на файлы: https://disk.yandex.ru/d/MmkBSiUNjSrTbw
Хочется в первую очередь понять, где подхватили, ну и реально ли расшифровать такое?
Это произошло 24.10 в 10:15 судя по зашифрованным файлам, а вот Recovery.hta и txt появились в 24.10 в 18:15, тоже не понятно, почему такая разница во времени

[Info_bot]

Уважаемый(ая) ManQuest, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Скорее всего, по RDP подключились. Расшифровки нет.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

[ManQuest]

Скорее всего, по RDP подключились. Расшифровки нет.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Готово
https://disk.yandex.ru/d/X0DPxCNXdq7ciQ

[Vvvyg]

Уведомление

Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ"

В журнале безопаности события только с 29.10, так что подробностей не будет. Первоначальная гипотеза о взломе по RDP остаётся самой вероятной. Хотя у вас там открыто множество портов? MS SQL, Postgres SQL, Microsoft Windows RPC, Microsoft IIS зачем-то открыт... Возможностей много.

И файлы расшифровать невозможно, они просто забиты нулями.

[ManQuest]

На IIS у меня висит небольшая база 1С, к которой иногда надо подключаться из вне, висит на белом IP, видимо как-то нашли это в сети и подключились к компу. Не подскажете направление, куда копать и как защищаться вкратце, если нужна база в интернете? Фаервол? Буду изучать этот вопрос

В логах system в этот день в 6 утра куча ошибок "Политика уровня проверки подлинности на стороне сервера не позволяет пользователю DESKTOP-JSG0DVG\Гость SID (S-1-5-21-2133190293-567209240-1766808133-501) с адреса 43.156.68.92 для активации DCOM-сервера. Чтобы повысить уровень проверки подлинности активации, RPC_C_AUTHN_LEVEL_PKT_INTEGRITY в клиентском приложении." Может быть как-то связано?

[Vvvyg]

Реально безопасно подключаться по VPN. Сейчас в роли VPN сервера может быть даже обычный домашний роутер.

Почитайте: Эффективная защита RDP «на минималках».