Решена без расшифровки Шифровальщик Scarab omerta залез через RDP

[Varg94]

Добрый день.
В нашу локалку проник шифровальщик, через rdp на один из серверов. Дальше по моим предположениям он зашифровал локальные файлы и папки и папки с открытым общим доступом в сети. Сервер на который проник вирус мы восстановили из резервной копии. Шифрованные файлы остались на другом сервере и некоторых локальных машинах. На данный момент мы отключили локальную сеть. Помогите разобраться, остался ли вирус на этих локальных компах и сервере. Прикладываю логи со второго сервера и одной из локальных машин, также прикладываю сам зашифрованный файл и записку.

 

[akok]

По расшифровке, если есть лицензия drweb, то обратитесь в вирлаб
https://support.drweb.ru/new/free_unlocker/for_decode/

На будущее, одна машина, одна тема.... иначе легко запутаться.

По CollectionLog(Serv) обратите внимание на:

> Безопасность: к ПК разрешен доступ анонимного пользователя
> Безопасность: Разрешена отправка приглашений удаленному помощнику

Если сами не применяли эти настройки, то исправьте.

По второму логу
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

>>>  "C:\Users\julia\Desktop\Старый Рабочий стол\Система БЭСТ-4+ (12.01).lnk"    -> ["C:\B4_PLUS\best.bat"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XnView\XnView - Help.lnk"       -> ["C:\Program Files (x86)\XnView\Help\Help-en.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Система БЭСТ-5 (3.4)\Инструкции-Методики.lnk"       -> ["C:\PROGRA~2\BEST\BEST5_34\Client\News\Инструкции_методики.chm"]
>>>  "C:\Users\julia\Desktop\Старый Рабочий стол\CCleaner.lnk"         -> ["C:\Program Files\CCleaner\CCleaner.exe"]
>>>  "C:\Users\julia\Desktop\Старый Рабочий стол\ClearProg.lnk"        -> ["C:\Program Files\ClearProg\ClearProg.exe"]
>>>  "C:\Users\julia\Desktop\Старый Рабочий стол\FreeCommander.lnk"    -> ["C:\Program Files\FreeCommander\FreeCommander.exe"]
>>>  "C:\Users\julia\Desktop\Старый Рабочий стол\Jumping Squirrel.lnk"           -> ["C:\Program Files\Jumping Squirrel\JumpingSquirrel.exe"]
>>>  "C:\Users\julia\Desktop\Старый Рабочий стол\QIP 2010.lnk"         -> ["C:\Program Files\QIP 2010\qip.exe"]
>>>  "C:\Users\julia\Desktop\Старый Рабочий стол\RegCleaner.lnk"       -> ["C:\Program Files\RegCleaner\RegCleanr.exe"]
>>>  "C:\Users\julia\Desktop\Старый Рабочий стол\xLines.lnk"           -> ["C:\Program Files\xLines\xlines.exe"]
>>>  "C:\Users\julia\Desktop\Старый Рабочий стол\XnView.lnk"           -> ["C:\Program Files\XnView\xnview.exe"]
>>>  "C:\Users\julia\Desktop\Старый Рабочий стол\Играть в 'Как достать соседа'.lnk"        -> ["C:\Program Files\Buka\NFH\bin\game.exe"]
>>>  "C:\Users\julia\Desktop\Старый Рабочий стол\Копия FreeCommander.lnk"        -> ["C:\Program Files\FreeCommander\FreeCommander.exe"]
>>>  "C:\Users\julia\Desktop\Старый Рабочий стол\Система БЭСТ-5 (3.4).lnk"       -> ["C:\Program Files\BEST\BEST5_34\Client\Bin\best5.exe"]
>>>  "C:\Users\julia\Desktop\Старый Рабочий стол\Сокровища Монтесумы.lnk"        -> ["C:\Program Files\Alawar.ru\Сокровища Монтесумы\TheTreasuresofMontezuma.exe"]
>>>  "C:\Users\julia\Desktop\Старый Рабочий стол\Ярлык для Totalcmd.lnk"         -> ["C:\Users\julia\Desktop\Total Commander\Totalcmd.exe"]

Заходили через RDP (смените пароли) и вредоносного ПО не оставили (если судить по логам)