+ это выполнить:
тем более, что 2008 R2 более не поддерживается.

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
-----------
по очистке системы,
если нужна помощь, обращайтесь на другой форум.
на оф. сайте мы не оказываем помощь тем пользователям, кто использует TNOD

[QUOTE]Роман Литвинюк написал:
Это в ручную удалять всё?? Да после первого звоночка всё проверял антивирусами, вчера гонял. А тут только вот сегодня вычитал, что они через RDP проникают. И вот тут я всё понял. (:[/QUOTE]

в данном случае для удаления теневых копий, и бэкапов используются системные файлы, поэтому антивирусы их не станут удалять.


ну остается только порадоваться что не так зашифровали.

[QUOTE]Наша сеть была поражена на прошлой неделе вариантом Ransomeware, которого я никогда раньше не видел. Этот вымогатель путешествовал по всей нашей сети, блокируя тонну рабочих станций и серверов. Это включает контроллеры домена (оба), файловые серверы, серверы входящих факсов, серверы программного обеспечения и т. Д. Ransomeware не позволяет загружаться в Windows и не оставляет заметки в htmls и .txt, как традиционные Ransomeware. Единственное замечание, которое остается, при попытке загрузки, и вместо окон вы получаете командную строку, уведомляющую вас о полном шифровании диска! Свяжитесь с [email protected] и введите пароль: поле ниже.[/QUOTE]

[QUOTE]Роман Литвинюк написал:
Вот ссылка на архив, там результаты сканирования и 2 файла, зашифрованные вирусом. https://www.sendspace.com/file/1v2ndn [/QUOTE]
да, судя по маркеру в защифрованном файле {CS 1.8.0.0}
это Crykl CS 1.8 пока что без расшифровки, как и предыдущая версия CS 1.7.0.1
логи сейчас посмотрю что там есть
да, первого звоночка видимо было недостаточно, и следом за Crysis пришел Крякл
2020-01-27 19:08 - 2019-12-20 21:37 - 000001392 ___SH C:\Program Files (x86)\desktop.ini.id-84280463.[[email protected]].bot[[email protected]][2217215075-1580151445].xgl

хвосты от Крякла конечно остались, куча зашифрованных файлов, записки о выкупе readme.txt, задачи, которые удаляют теневые копии, бэкапы.

[QUOTE]2020-01-27 18:33 - 2020-01-27 18:58 - 000003198 _____ C:\Windows\system32\Tasks\BCBoot
2020-01-27 18:33 - 2020-01-27 18:58 - 000003166 _____ C:\Windows\system32\Tasks\BCRecover
2020-01-27 18:33 - 2020-01-27 18:58 - 000003128 _____ C:\Windows\system32\Tasks\WMICRestore
2020-01-27 18:33 - 2020-01-27 18:57 - 000003158 _____ C:\Windows\system32\Tasks\WBadminBackupRestore
2020-01-27 18:32 - 2020-01-27 18:57 - 000003180 _____ C:\Windows\system32\Tasks\WBadminSystemRestore
2020-01-27 18:32 - 2020-01-27 18:57 - 000003154 _____ C:\Windows\system32\Tasks\VssDataRestore

Task: {138DE609-1E84-4F19-94E0-46FA33D03A6D} - System32\Tasks\BCRecover => bcdedit [Argument = /set {default} recoveryenabled No]
Task: {24FE9514-F3BF-47EE-BC95-AA2BEE4A4587} - System32\Tasks\BCBoot => bcdedit [Argument = /set {default} bootstatuspolicy ignoreallfailures]
Task: {279E7326-25DA-46A1-AA87-A8E32329E4B8} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
Task: {4F9115A0-7CE5-42A7-8593-8243B49DC20C} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
Task: {5C9CC352-7B77-4C3F-9076-F46BBCB35788} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0]
Task: {DF230852-2D6B-44CA-998F-2B3C881FFC23} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0][/QUOTE]
+
много пользователей в системе с правами администраторов.
Buh (S-1-5-21-436013990-1443120828-3181057592-1008 - Administrator - Enabled) => C:\Users\Buh
Glavbuh (S-1-5-21-436013990-1443120828-3181057592-1003 - Administrator - Enabled) => C:\Users\Glavbuh

[QUOTE]Роман Литвинюк написал:
Да, а после этого Cryakl наведался, и зашифровал БД 1С. Там новая версия 1.8 его как я почитал, расшифровки нет. Но вы посмотрите пожалуйста, есть ли его следы ещё.[/QUOTE]
Crysis у вас побывал на сервере совсем недавно.
23.01.2020 в 15:04:05

судя по образу, у вас от антивирусов остались только рожки, да ножки, или вообще сервер был без антивирусной защиты?
кроме того, на сервер добавлены инструменты взлома
C:\USERS\GLAVBUH\MUSIC\NS.EXE
a variant of Win32/NetTool.Agent.NAH potentially unsafe
Application.Hacktool.Scanner.I
Tool.Ipscan.5
так что вы еще и рискуете тем, что с вашего сервера (айпишника) выполняется поиск уязвимых серверов в сети (возможно что и по внутренней сети было выполнено сканирование)
сделайте еще проверку в FRST
https://forum.esetnod32.ru/forum9/topic2798/
+
добавьте несколько зашифрованных файлов версией CS 1.8
+
не рекомендуем вам использовать подобных программ для защиты ваших данных
TNod User & Password Finder
(сэкономите на лицензии 1000 руб, зато вероятность потерять ваши рабочие документы резко возрастает, без возможности восстановления,
или за выкуп ключей в размере десятков тысяч рублей)

[QUOTE]Роман Литвинюк написал:
Зашифровали файлы. Нужна помощь. Образ автозапуска прилагаю. Заранее Спасибо.  [URL=https://www.sendspace.com/file/eo6da7]https://www.sendspace.com/file/eo6da7[/URL] [/QUOTE]
@Роман Литвинюк,
судя по образу автозапуска у вас произошло шифрование Crysis (вариант с расширением .bot)
C:\USERS\BOSS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-84280463.[[email protected]].BOT
характерная для него записка о выкупе:
C:\USERS\BOSS\APPDATA\ROAMING\INFO.HTA
с расшифровкой файлов не поможем, нет расшифровки по текущим версиям Crysis,
восстановление документов возможно только из архивных копий.
-------------
+
обратите внимание на рекомендации по защите ваших серверов,
и примите меры защиты,
иначе,
шифрование может повториться в скором времени.

[QUOTE]Vladimir Shmatkov написал:
Добрый день, файлы зашифровались с расширением  ".WIKI" , есть какие-либо варианты восстановления ? Или хотя бы в будущем?[/QUOTE]
добавьте образ автозапуска из зашифрованной системы, возможно в системе остались файлы шифратора.

В будущем - возможно. В будущем все возможно, в том числе и расшифровка файлов, если на то будет добрая воля злоумышленников, и они передадут приватные ключи в добрые руки вирлабов.

а пока восстановление документов (после шифрования в Crysis) возможно только из архивных копий.
+
обратите внимание на меры защиты ваших серверов от проникновения шифраторов.

Crysis на файловых серверах запускается, как правило, после взлома учетных записей.
Возможно, злоумышленники находят способ обойти защиту антивируса перед запуском шифратора с рабочего стола.

С Вашей стороны необходимо обезопасить доступ к рабочему столу установкой в системе  актуальных патчей, сложными паролями к учетным записям, политиками, которые ограничивают возможность брутфорса из внешней сети, установкой актуальных версий антивирусных программ,
разрешением доступа по RDP только для ip из белого списка, установкой 2FA и т.д.

Если вы используете версии защитных программ, в которых нет технологии защиты от Ransomware, риски шифрования ваших данных возрастают.

[QUOTE]i Savage написал:
Сегодня тоже словили это дерьмо на сервакеO6QHIH_decrypt.exe.id-9C26D9B3.[ [email protected] ].harmaO6QHIH_payload.exe - был в загрузкеНа вирустотал определяется как A Variant Of Win32/Filecoder.Crysis.P[/QUOTE]
добавьте образ  автозапуска системы, где произошло шифрование, возможно в системе остались еще файлы шифратора.

по версиям. Версия 5ndpoint уже устарела, переходите на актуальную версию 7Endpoint или 7FileSecurity для серверов.

5.x 29-May-12 5.0.2272.7 2018-05-22 Basic Support End of Life Dec 2020

https://support.eset.com/en/is-my-eset-product-supported-eset-end-of-life-policy-business-products
+
это прочтите к сведению
(Пришло время отключить доступ к RDP из интернета )
https://forum.esetnod32.ru/forum9/topic15582/

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {0E4EDFA3-7709-4E3E-BF10-BC948EE0D79C} - \Windows Update 5dcb6e66 -> No File <==== ATTENTION
Task: {132CB1CA-587B-4E1A-B65A-62D1F71684A9} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {2376B0BE-2405-4337-93D4-FABC5C44A78C} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {24F36DC8-AEF5-4EBB-982B-31F700BDA9F5} - \Microsoft\Windows\5123E61F-2066-4E12-BB1E-4A928EEF8BAD -> No File <==== ATTENTION
Task: {298741E9-C658-454D-8308-83B4B6A0D185} - \{FD0D6607-3121-4176-8C45-D964F0D456D0} -> No File <==== ATTENTION
Task: {2A30300A-7EDB-4F8B-A55F-3AB8337DCA14} - \{98B2C078-E17D-4C34-B14B-F5002C6B8D11} -> No File <==== ATTENTION
Task: {3BB24FC3-E9A8-4E70-B530-516406E3A799} - \{D529708E-0ECE-4500-A171-5D1CDA6D783C} -> No File <==== ATTENTION
Task: {41237927-A1CB-401E-98A2-84FDC2585031} - \Windows Update b2b04eba -> No File <==== ATTENTION
Task: {8AD3A823-A2E9-4CC7-AC66-017924526B97} - \Windows Update 597301b5 -> No File <==== ATTENTION
Task: {FCCA92DC-69C8-4F4D-8ECA-E7554CBC0448} - \Windows Update 22074eed -> No File <==== ATTENTION
CHR Notifications: Default -> hxxps://blackstarwear.ru; hxxps://chuvashia.shop.megafon.ru; hxxps://horoscopes.rambler.ru; hxxps://hr-portal.info; hxxps://iplastica.ru; hxxps://kcentr.ru; hxxps://kofechaj24.ru; hxxps://news-fancy.com; hxxps://ria.ru; hxxps://www.letu.ru; hxxps://www.m24.ru; hxxps://www.sport-express.ru; hxxps://www.wildberries.ru; hxxps://yandex.ru
AlternateDataStreams: C:\ProgramData\TEMP:373E1720 [118]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:373E1720 [118]
FirewallRules: [{C891F5A7-080F-4D6C-905C-0B8A62E6C098}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{FF6BE0D1-E4F8-4FFD-A071-D7BBAC00C099}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{C3E8002E-D082-467D-B499-F64C2161F89C}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{A3D40A81-6033-4F68-B436-41BDD062F287}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{840156BC-79A2-4862-BBCA-9BEFA349E3B1}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{62DFB077-EA97-4588-B828-6E094C77F8C0}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
EmptyTemp:
Reboot:[/CODE]

удалите все найденное в малваребайт,
далее,

сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/