@Максим Горин,
опишите кратко проблему

Андрей Воронов,
продублируйте ваше первое сообщение,
то добавьте правильно вложенные файлы: через функцию загрузить файлы.

[QUOTE]Ivanov Ivan написал:
Пароль есть. Однако, насколько мне известно, даже зная его все равно ничего нельзя изменить.[/QUOTE]
а что вы хотите изменить в настройках?
если ВСЕ параметры конфигурации определяются через политику, которая транслируется с управляющего сервера ERA,
тогда - ничего "не убавить и не прибавить". настройки будут доступны только для просмотра.
-------------

если изменение части параметров не блокируется политикой, то их можно будет изменить пользователю, после доступа к конфигурацию.

@Garik Nabiev,
если сохранились копии зашифрованных файлов, добавьте несколько таких файлов в архиве для проверки работы дешифратора.

+

на будущее:


[QUOTE]Протокол удаленных рабочих столов (RDP) - очень распространенный вектор атаки грубой силы для серверов, особенно тех, кто занимается разработкой и распространением вымогательства ... см. Здесь. Как только злоумышленник получает административный доступ с помощью атаки грубой силы на уязвимый RDP-порт, система скомпрометирована, и они могут внедрять вредоносное ПО и / или использовать инструменты удаленного доступа, чтобы сделать что угодно.

ИТ-специалисты должны закрыть RDP, если они не используют его. Если они должны использовать RDP, лучший способ защитить его - либо разрешить доступ только с определенных IP-адресов на брандмауэре, либо не выставить его в Интернет. Поместите RDP за брандмауэр, разрешите только RDP из локального трафика, настройте VPN для доступа извне, используйте RDP-шлюз, измените порт RDP по умолчанию (TCP 3389) и применяйте надежные политики паролей, особенно на любых учетных записях администратора или с правами RDP[/QUOTE]

а сервер и консоль управления установлены? ERA 5 или ERA6?

[QUOTE]Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   custom_rule: Encrypted size marker [0x00 - 0x08] 0x827B000000000000[/QUOTE]

https://id-ransomware.malwarehunterteam.com/identify.php?case=b98e9997113869d5b76c0ae6f30781ed57349247

https://www.bleepingcomputer.com/forums/t/651855/mich78-ransomware-recoverytxt-mich78usacom-support-topic/
---------------
если у вас есть лицензия на продукты ESET, напишите в [email protected],
возможно вирлаб найдет решение про расшифровке
в сообщение вы можете добавить зашифрованные, оригинальные файлы, записку о выкупе, + если сохранился источник заражения.

@Ян Раскалов,
какие версии продуктов используете в сети?

[QUOTE]Дмитрий Корзун написал:
Спасибо! а как дешифровать?  [/QUOTE]
пока что надо точно идентифицировать вид шифратора.  запиской о выкупе идентификация будет точнее.

возможно в этом файле был шифратор, сейчас его нет

Полное имя                  C:\USERS\1C\APPDATA\ROAMING\MICROSOFT\WMON32.EXE
Имя файла                   WMON32.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      HKLM\dgbdswaul\Software\Microsoft\Windows\CurrentVersion\Run­\wmon
wmon                        C:\Users\1c\AppData\Roaming\Microsoft\wmon32.exe
                           
---------------
записку о выкупе можно извлечь в безопасном режиме системы.

[QUOTE]Алексей Кучерявый написал:
[Добрый день, у меня есть. В аттаче, пароль 111. [/QUOTE]
по 1.5.1 doubleoffset расшифровки нет, только по 1.4.0-1.4.1 fairytail