добавьте образ автозапуска системы,
http://forum.esetnod32.ru/forum9/topic2687/
и
лог ESETsysinspector
http://forum.esetnod32.ru/forum9/topic10701/

могли получить список учетных записей на сервере, и перебором или по словарю получить пароль доступа для выбранной учетной записи.
т.е. подключиться из внешней сети по RDP используя уже известную пару логин и пароль.

[QUOTE]Сергей Жало написал:
Файлы по шифровало с расширением *.id-EF.[ [email protected] ].ldprЗагрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwnОбраз автозапуска пока делается, выложу логи вместе с SecurityCheck by glax24 & Severnyj и журналом.Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?[/QUOTE]

да, можно и с него.
но имейте ввиду, предположительно атака была в воскресение,
(судя по темам на других форумах, поэтому и образ может быть уже зараженным).
по мерам безопасности, я расписал выше.

1. предположительно, была взломана эта учетная запись
C:\USERS\[B]ALINA[/B]\APPDATA\ROAMING\INFO.HTA

2. возможно, что антивирус (если был установлен на момент атаки) был отключен на момент запуска, потому что этот вариант Crysis детектируется уже давно, проверьте, возможно ли это, чтобы под учетной записью пользователя, можно было отключить антивир.
(установлен ли пароль защиты доступа к настройкам антивируса, работают ли обычные пользователи на терминальном сервере с правами администратора - если это  так, то надо у них эти права отнять, и настроить их работу под обычными правами)


3. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[[email protected]].LDPR
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[[email protected]].LDPR
delall %SystemDrive%\USERS\KOT\APPDATA\ROAMING\MICROSOFT\WINDOWS\ST­ART MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[[email protected]].LDPR
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.

Сергей,

судя по логу серверные данные пострадали от шифратора[B] Crysis c расширением LDPR[/B]
очистка файлов сработала только сегодня. 23.04.2019 3:08:23
отсюда можно предположить, что взлом был из внешней сети.
либо подобрали пароль во время атаки к какой либо учетной записи, либо, предварительно эти данные были у злоумышленников
на руках на момент атаки. (ранее провели всю подготовительную работу, или купили доступ к учетной записи на черном рынке,
увы и такое возможно сейчас. разделение труда)

[QUOTE]="Время">23.04.2019 3:08:23</COLUMN>
<COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN>
<COLUMN NAME="Тип объекта">файл</COLUMN>
<COLUMN NAME="Объект">Оперативная память = C:\Users\alina\Videos\notepad.exe</COLUMN>
<COLUMN NAME="Обнаружение">модифицированный Win32/Filecoder.Crysis.P троянская программа</COLUMN>
<COLUMN NAME="Действие">очищен</COLUMN>
<COLUMN NAME="Пользователь"/>
<COLUMN NAME="Информация"/>
<COLUMN NAME="Хэш">CA83FFE07145A9CDD53AD45A61E1CF46C7BC2AA8</COLUMN>­[/QUOTE]

[QUOTE]<COLUMN NAME="Время">23.04.2019 7:06:46</COLUMN>
<COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN>
<COLUMN NAME="Тип объекта">файл</COLUMN>
<COLUMN NAME="Объект">c:\users\[B]alina[/B]\videos\notepad.exe</COLUMN>[/QUOTE]
следуют как минимум,
поменять все пароли к учетным записям на более сложные,
установить политику защиты паролей от перебора,
запретить доступ из внешней сети к серверу, за исключением только доверенных ip
------------
образ сейчас посмотрю.

как минимум, известно три случая, когда шифрование было по причине установленного MeDOC: *.repairfiles365@gmail_com, ~xdata~, NotPetya
может опять через его обновление что-то проникает и запускается в системе?
проверьте так же время начала шифрования, кто авторизовался на сервере терминалов примерно в это время, какие пароли (надежные, слабые) установлены на аккаунтах, входящих в группу RDP на указанном сервере, настроены ли политики безопасности для защиты от перебора пароля к этим учеткам (блокировать после трех неверных вводах пароля)

Сергей,
надо таки знать, какой это был шифратор. ((наличие одной почты вымогателя - слишком мало информации, чтобы сделать вывод).
Как он распознается антивирусными компаниями, какие расширение было у зашифрованных файлов.
Если установлен антивирус, то возможно в логах журнала угроз есть информация,
добавьте лог журнала угроз
+
добавьте образ автозапуска системы
+
сделайте лог по проверке уязвимостей.
[QUOTE]Загрузите, распакуйте на Рабочий стол и запустите [URL=https://yadi.sk/d/xIUtpEqJq4wru]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.[/QUOTE]

@Andrei Sverzh,

добавьте таки образ автозапуска для проверки системы.
(спасения файлов для этого варианта Crysis/Dharma c расширением *.adobe в настоящее время нет, спасение возможно только из бэкапов, или если теневые копии уцелели, что маловероятно).

возможно потому, что вы установили ломанную версию антивируса с TNod User & Password Finder
по правилам нашего форума, помощь пользователям, которые используют такие версии антивируса ESET не оказывается.
обращаемся  за помощью на другой форум.

добавьте образ автозапуска системы