могли получить список учетных записей на сервере, и перебором или по словарю получить пароль доступа для выбранной учетной записи.
т.е. подключиться из внешней сети по RDP используя уже известную пару логин и пароль.

Но так они могли ломиться на стандартный порт rdp, у меня бред цыфр, сейчас вообще доступ закрыт.
С логами старой ос не особо ( что то акронис долго думает, проще чистый старый образ накатить  

Сергей,

если были зашифрованы важные документы, восстанавливаем файлы из бэкапов,
или сохраняем важные зашифрованные документы на отдельный носитель,
и ждем (ждем и ждем) когда будет решение у антивирусных компаний по расшифровке.

+
теперь, когда вас дважды шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к серверу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Здравствуйте. Возможно ли расшифровать файл с таким расширением?
Файлы зашифрованы с расширением .[[email protected]].bat
Во вложении прикреплены отчет от Autologger, файл вируса, 3 файла из зашифрованных, 2 записки с контактами для связи с мошенниками.

Александр,
к сожалению это Crysis, и расшифровать файлы не получится, можем помочь только очистить систему
нужен так же образ автозапуска системы, кроме прочих логов.

судя по логам, этот файл шифратор 1swlynru.exe
и он есть в автозапуске:
O4 - Startup other users: C:\Users\User3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1swlynru.exe    ->    (PE EXE)
перед тем как создать образ автозапуска, проверьте, нет ли его в процессах.
если есть, то данный процесс необходимо завершить, и затем приступить к созданию образ автозапуска.

Здравствуйте! Буквально вчера ночью на сервер каким-то образом попал троян. Файлы зашифровались расширением [[email protected]].harma . Перепробовал уже все подряд, есть решение?

добавьте образ автозапуска с зашифрованного сервера

Здравствуйте!  Пожалуйста, помогите друзья вчера все файл зашифровали.  Файлы зашифровали расширением .id-20CC8CF5.[[email protected]].harma. Есть решение????


образ автозапуска https://my-files.ru/46ec96

судя по образу система уже очищена от файлов шифратора.
расшифровки данных по данному варианту Crysis, к сожалению, нет, восстановление документов возможно только из архивных копий.