Решена без расшифровки Прошу помощи, если она возможна.

[mr_fat]

Добрый день. 10 дней назад сотрудники поймали шифровальщика. Заражение произошло через rdp одной из сотрудниц. Учетная запись была с правами администратора, а она сама отошла от компьютера на совещание, прямо идеальное стечение обстоятельств. Удалили dr.web и запустили свою малварь.
Прикладываю архивы.

 

[Sandor]

Здравствуйте!

К сожалению, это одна из последних версий Cryakl. Расшифровки скорее всего нет.
Помощь в очистке следов нужна?

 

[mr_fat]

Здравствуйте. Спасибо за быстрый ответ. Да, было бы неплохо хотя бы от мусора избавиться

 

[Sandor]

Следы бывшей установки Avast очистите по соотв. инструкции:
Чистка системы после некорректного удаления антивируса.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Затем:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM-x32\...\Run: [2920092] => 2920092
  HKU\S-1-5-21-1232067671-3028783490-815152627-1118\...\MountPoints2: {18549c60-1bfc-11ea-8ab4-001e101f8924} - "F:\Install MegaFon Internet.exe"
  FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  Task: {EB23D695-4B10-4CC9-BC55-02C0511D2DEB} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1873288 2019-10-14] (AVAST Software s.r.o. -> AVAST Software)
  U3 aswbdisk; no ImagePath
  2019-12-07 14:28 - 2019-12-07 14:28 - 000000107 _____ C:\Users\anisimov\AppData\LocalLow\README.txt
  2019-12-07 14:19 - 2019-12-07 14:19 - 000000107 _____ C:\Users\anisimov\AppData\Local\README.txt
  2019-12-07 14:19 - 2019-12-07 14:19 - 000000107 _____ C:\Users\anisimov\AppData\Local\Apps\README.txt
  2019-12-07 14:16 - 2019-12-07 14:16 - 000000107 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
  2019-12-07 14:15 - 2019-12-07 14:15 - 000000107 _____ C:\Users\Все пользователи\Documents\README.txt
  2019-12-07 14:15 - 2019-12-07 14:15 - 000000107 _____ C:\Users\Все пользователи\Desktop\README.txt
  2019-12-07 14:15 - 2019-12-07 14:15 - 000000107 _____ C:\Users\Public\Documents\README.txt
  2019-12-07 14:15 - 2019-12-07 14:15 - 000000107 _____ C:\Users\Public\Desktop\README.txt
  2019-12-07 14:15 - 2019-12-07 14:15 - 000000107 _____ C:\ProgramData\Documents\README.txt
  2019-12-07 14:15 - 2019-12-07 14:15 - 000000107 _____ C:\ProgramData\Desktop\README.txt
  2019-12-07 14:14 - 2019-12-07 14:14 - 000000107 _____ C:\Users\Все пользователи\README.txt
  2019-12-07 14:14 - 2019-12-07 14:14 - 000000107 _____ C:\ProgramData\README.txt
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  AlternateDataStreams: C:\Users\anisimov.SCGIZ:Heroes & Generals [38]
  HKU\S-1-5-21-1232067671-3028783490-815152627-1118\Software\Classes\.scr: scrfile =>  <==== ATTENTION
  FirewallRules: [{779E83E6-610D-4875-B4AE-10F75C731A14}] => (Allow) C:\Users\anisimov.SCGIZ\AppData\Local\MediaGet2\mediaget.exe No File
  FirewallRules: [{58A19DB8-EA46-4729-AFBB-580E81DF3C80}] => (Allow) C:\Users\anisimov.SCGIZ\AppData\Local\MediaGet2\mediaget.exe No File
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[mr_fat]

Сделано

 

[Sandor]

По расшифровке при наличии лицензии на ваш антивирус, обратитесь к ним в тех поддержку.
По возможному восстановлению базы данных - в начале темы есть ссылка.

Заражение произошло через rdp

Пароль конечно смените.

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[mr_fat]

В тех поддержку уже обращался, сказали что не могут ничем помочь. Вы были последней надеждой.

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.52213 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50907.0 Внимание! Скачать обновления
FastStone Image Viewer, версия 4.5.0.0 v.4.5.0.0 Внимание! Скачать обновления
TeamViewer 12 v.12.0.77242 Внимание! Скачать обновления
TrueCrypt v.6.3a Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать VeraCrypt.
-------------------------------- [ Arch ] ---------------------------------
7-Zip 9.20 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.

 

[mr_fat]

Еще раз большое спасибо за помощь!
А с обновлениями тут целая история. Прошлый админ оставил парк необновленных машин, выпадающих в ошибку и откат при попытке обновления. Проще будет, наверное, заново все переустановить.

 

[Sandor]

Возьмите на заметку - Рекомендации после удаления вредоносного ПО