Решена Все файлы зашифровались с расширением .criptokod

[thyrex]

Скачал, буду смотреть

 

[Gunslinger]

Спасибо... надеюсь, что у Вас все получится!

 

[thyrex]

Завтра предоставлю утилиту. Последние тесты нужно провести

 

[Gunslinger]

Спасибо за Ваш нелегкий труд! Очень ждем... третья неделя пошла, как работа организации практически встала.

 

[thyrex]

Пробуйте https://safezone.cc/threads/vosstanovlenie-fajlov-posle-trojan-ransom-win32-cryfile-bmm.25638/
Если есть зашифрованные файлы других типов, сообщите

 

[Gunslinger]

Все работает!!! Низкий Вам поклон и огромное спасибо за помощь. "Гении" из Касперского и др. Веба нас бортанули, хотя есть лицухи и тех, и других. Сказали, мол, не могем и точка. Еще раз спасибо!

 

[thyrex]

• Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

 

[Gunslinger]

Хорошо, сделаем.

 

[Gunslinger]

SecurityCheck by glax24 v.1.3.0.21 [16.06.15]
WebSite: www.safezone.cc
DateLog: 18.06.2015 21:39:43
Path starting: C:\Temp\2\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Администратор
C:\Temp\2\SecurityCheck\SCUpdateInet.xml- Error opening specified file: C:\Temp\2\SecurityCheck\SCUpdateInet.xml
End tag 'head' does not match the start tag 'link'.
VersionXML: 0.0
___________________________________________________________________________

Windows 2003(5.2.3790) Service Pack 2 (x86) Lang: Russian(0419)
Дата установки ОС: 03.05.2015 01:23:08
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Opera\Launcher.exe
Системный диск: C: ФС: [NTFS] Емкость: [166 Гб] Занято: [17.9 Гб] Свободно: [148.1 Гб]
----------------------------- [ End of Log ] ------------------------------

 

[Gunslinger]

thyrex, по отправленным мной логам можно выяснить остался ли сам шифровальщик на сервере, не зашифрует он нам еще раз?

 

[akok]

Conlaoch, нет, мы это проверили в самом начале... а так если подхватите новый шифровальщик, то зашифрует

Я тему отмечаю решенной

 

[shestale]

Conlaoch, скачайте утилиту SecurityCheck by glax24 заново и переделайте лог.

 

[Gunslinger]

shestale, ок, сделаем. А пока думаем, как выводить безопасность сети организации на более качественный уровень, такие длительные простои в работе... сами понимаете.

 

[Severnyj]

Выкладывайте идеи, конфиг сети и бюджет, может найдется хороший вариант

 

[Gunslinger]

Думается, что зараза прилетела через RDP, его мы уже закрыли, но если уж очень надо, то хотя бы открывать его на нестандартном порту, например 8877. Сам сервак полностью переделать по такой схеме - в качестве основной системы ставить юбунту сервер с файловой помойкой, на нем же виртуалбокс с контроллером домена, отдельный комп выделить для гейтвея, тоже на юбунту сервер, с которого будет поднят OpenVPN с филиалом. В качестве фаервола и мейлера хотелось бы использовать Kerio Control и Kerio Connect, но руководство, узнав цены, однозначно нас пошлет. Настроить терминал, чтобы сразу 1С запускалась. И самое надежное, наверно, - бэкапить все самое важное на съемный хард и сразу же его отключать. Такие вот идеи...