В работе Помогите отловить eishohH2

[BABIKOFF]

Часть файлов зашифровалась, залезло скорее всего через сетевую папку (зашифрована одна папка), сейчас сервер изолирован
Файл шифровальщика не нашел
лог и образцы файлов в приложении

 

[Sandor]

Здравствуйте!

В логах Farbar следов шифрования не видно.

сейчас сервер изолирован

Тот, на котором собраны представленные логи?

Обратите внимание на открытые порты:

FirewallRules: [{DC160A17-4E5E-4AAB-8131-93C5D796A9F7}] => (Allow) LPort=1433
FirewallRules: [{4F023210-15A4-480D-9F68-0FE3F9C6D986}] => (Allow) LPort=443
FirewallRules: [{35B74148-8208-436D-AB4D-A09058B678F6}] => (Allow) LPort=3050
FirewallRules: [{0B7C994C-FDA9-44A4-9DF3-93D81DB7055F}] => (Allow) LPort=3050
FirewallRules: [{4D15D1E8-DD5E-46C6-8394-7857DA5813C2}] => (Allow) LPort=5433
FirewallRules: [{BFE3CF92-69C7-42E9-9136-773F38AEDB6A}] => (Allow) LPort=5012

 

[BABIKOFF]

Тот, на котором собраны представленные логи?

Да, на нём.
зашифрована только папка к которой есть доступ внутри сети организации (чтение и запись) В данный момент проверяю все устройства, но пока безуспешно....что-то найду, сообщу в тему
Порты открыты целенаправленно (нужны для работы)

 

[akok]

+++
1. Список Администратор, нет лишних?
iclinremote (S-1-5-21-2419731217-2802615839-2241027708-1007 - Administrator - Enabled) => C:\Users\iclinremote
NDC (S-1-5-21-2419731217-2802615839-2241027708-1000 - Administrator - Enabled) => C:\Users\NDC
Администратор (S-1-5-21-2419731217-2802615839-2241027708-500 - Administrator - Enabled) => C:\Users\Администратор

По повод файлов, они забиты нулями, а не зашифрованы

 

[BABIKOFF]

1. Список Администратор, нет лишних?

нет, все свои

По повод файлов, они забиты нулями, а не зашифрованы

Вернуть их в прежнее состояние есть возможность? их много, около 20000шт в основном docx и pdf

 

[akok]

Только если программами восстановления данных (включая теневые копии).. или бекап. Хотя проверьте содержимое еще пару файлов, если там пусто, то данные уничтожены