Добрый день. У меня, по-видимому схожий вирус как в теме [URL=https://forum.esetnod32.ru/forum35/topic13939/]https://forum.esetnod32.ru/forum35/topic13939/[/URL]
Заражение произошло вчера, были зашифрованы файлы на основном диске. Просмотр журнала показал, что был создан пользователь с правами админа, через него был выполнен вход, использовалась утилита PsExec, с помощью которой выполнялись нужные команды, в тч деинсталляция антивируса перед запуском шифровальщика , и тп... Пользователя этого я уже удалил, а вот PsExec была удалена самими злоумышленниками уже после запуска шифровальщика.
Для доступа на сервер для сбора логов и файлов я использовал приложение Teamviewer, тк нахожусь не рядом с компом
Прилагаю образ автозапуска, текстовый файл с адресом злоумышленников, а также 2 пары чистых/зашифрованных файлов .jpg
Буду рад любой помощи,
С уважением,
Александр
------------------