Здравствуйте! Поделитесь информацией, как это может происходить?
Владелец сервера говорит что через rdp который он дал для
удаленного доступа к нему залезли недоброжелатели. Поставили
вымогатель, зашифровали каталоги и требуют выкуп.
Система Windows 10. Вообще пароль и пользователь не сложный был
на доступ по rdp. Бывает такое или это флуд?

(0) Бывает. Выставить RDP в интернет — это как с голой жёпой в Амстердаме прогуляться. Найдёшь приключений на 146%

А что невозможного?
Другое дело, что даже несложный пароль брутфорсом по рдп подобрать проблематично с виндовой политикой безопасности по умолчанию. Скорее всего пароль уже знали.

В каком контексте он это утверждает? Профачил какие-то обязательства перед вами, или просто спрашивает, как ему быть?

(1) В смысле выставить?
Вам не разу не давали доступ по rdp?

(0) А как он узнал, что именно по rdp?

(2) Ну то что вымогатель у них появился, якобы через меня.
Блеф 100%. Единственное что было, это то что пользователя rdp выкидывало 2 раза. Или не было возможности зайти потом,
черный экран. Или когда появилась картинка не было управления. Владелец утверждает что никто он него не заходил!!!

(3) Предлагали. Но я с кем попало ни-ни. И вообще, избегайте случайных связей и пользуйтесь презервативами VPN.

(4) Он предоставил доступ по rdp. Ну и то что случается
решает что это из за этого. Пока не понятная ситуация.

Недоброжелатели в лице Ливингстара :))

(6) VPN это же защита того кто вам предоставляет доступ, но не вас?

(5) Пусть в интернетах про недавний ваннакрай почитает.

(6) А еще лучше юзать сервер шлюза терминалов. Или и то, и другое.

(11) То есть rdp крайне не надежная вещь, в плане того что
присоседиться сможет посторонний без труда?

(0)"Владелец сервера говорит что через rdp который он дал для
удаленного доступа к нему залезли недоброжелатели. Поставили
вымогатель, зашифровали каталоги и требуют выкуп."

может у него в данной ОС еще учетки были с админскими правами и без паролей или со слабыми паролями, и после того как рдп был выставлен в общий доступ этими учетками и подключились

(7) Бред насяльника не желающего платить. Принеси ему флешку с вирусом или письмо таковое отправь. Посмотри результат.

(12)если открываете рдп в интернет, то все учетки ОС данного ПК должны быть со сложными паролями.

(12) Секс то-же крайне ненадежная для здоровья "вещь".

(13) Пароли слабые.
Я ответственному за это говорю, поставь 16 ричные пароли.
Он говорит не нужно. Пароли любой сложности ломаются в 2 счета. Вот и толкём воду. А в чем проблема так и не ясно.

(0) шифровальщики обычно с почтой приходят

(17) Т.е. пользователей по РДП>1? Тогда почему именно на тебя "батон крошат"?

(17)"Пароли слабые"

этого достаточно для ситуации (0)

(19) Да не один. Ну я не вижу же их там.
Да маятник они все, очевидно.

(18)"шифровальщики обычно с почтой приходят"

была как-то ситуация заражения именно по рдп, хорошо, что учетка была ограниченная и зашифровали только то, к чему у нее был доступ, пароль на учетке слабый был.

(0)"зашифровали каталоги"

у твоей учетки был доступ к этим каталогам?

(17) А ты, "мил человек", не качал, случайно, обработки для 8-ки с инета, с непроверенных источников?
Я год назад "скачал перенос между базами", аваст и нод "сглотнули" а каспер обнаружил.

(22) как определили что по рдп?

Встречал такой же случай. По логам несколько месяцев шёл брутфорс с логинами типа Вася, Петя. Примерно раз в минуту.

В итоге подобрали Таню с паролем 1717 и зашифровали все, до чего дотянулись.

(26) >По логам несколько месяцев шёл брутфорс с логинами типа Вася, Петя. Примерно раз в минуту.

В итоге подобрали Таню с паролем 1717 и зашифровали все, до чего дотянулись.

Надо сказать, админ в этом случае - редкостный дегенерат.

(25)сервак был чисто под 1С, и время совершения было таким, что из пользователей никто не работал, что-то в районе 3 - 4 часов утра.

Заходил сейчас! Жесть полная.
В каждом каталоге лежит файл PAROL.
Какие то скрипты, везде сообщения что у вас все запаролено!!!

Сам файл скопировал. Могу поделиться содержимым.

ВНИМАНИЕ,ВАШИ ФАЙЛЫ,ДОКУМЕНТЫ,ФОТО,АРХИВЫ И ПРОЧАЯ ИНФОРМАЦИЯ ЗАШИФРОВАНЫ !!!
==================================================================================
ДЛЯ РАСШИФРОВКИ ФАЙЛОВ,ВАМ НЕОБХОДИМО НАПИСАТЬ НАМ НА ПОЧТУ
[email protected] или (если не получили ответа больше суток) сюда [email protected]
============================================================================================
ПОПЫТКИ ДЕШИФРОВАТЬ ФАЙЛЫ НЕ ИМЕЯ ОРИГИНАЛЬНОГО КЛЮЧА - ПРИВЕДУТ К ПОРЧЕ ФАЙЛОВ !!!
ТАК ЖЕ,РАСШИФРОВКА ВОЗМОЖНА НЕ ПОЗЖЕ 96 ЧАСОВ С МОМЕНТА ЗАШИФРОВКИ ВАШИХ ФАЙЛОВ !!!
====================================================================================
НИ ПЕРЕУСТАНОВКА WINDOWS, НИ АНТИВИРУСЫ, УЖЕ НЕ ДЕШИФРУЮТ ВАШИ ФАЙЛЫ !!!
====================================================================================
ДЛЯ ГАРАНТИИ РАСШИФРОВКИ МОЖЕМ ДЕШИФРОВАТЬ ОДИН ФАЙЛ КОТОРЫЙ ПРИШЛЕТЕ НАМ И ВЫШЛЕМ
ВАМ ОБРАТНО !!!
====================================================================================



УКАЗЫВАЙТЕ СВОЙ ID НОМЕР


ВАШ ID WTEN_9....
========================

А почему решили что это по рдп, а не какой-нить вирус-шифровальщик из почты?

Ну все, трындец котенку.

Насчет 96 часов только вранье для ускорения получения бабла.

Остается только договариваться, если одмин юный, свежий и еще не научился параноидально делать бэкапы всего и вся.

(29)еще раз - Вам учетку выдавали с ограниченными правами? каталоги зашифрованы только в пределах прав Вашей учетки?

(27) там его нет

(23) Был. Сейчас базы 1с не открываются.
Как будто их нет.

+(28)пример имени файла после того шифровальщика
1Cv7.MD.id-{VEOQGICFZBOUIOMSGFLJXDCIVBAGTZYESYWC-15.02.2015 5@07@416114300}[email protected]

(31) Ну ок, вирус шифровальщик значит.
Порты смотрели вроде не прощупывались.
Возможно он, сейчас тогда нужно искать
решение как это вылечить.

(33) Да, вроде как говорят учетная запись не с полными правами.

(37) К Касперскому обращались? Вот подобная тема: https://forum.kasperskyclub.ru/index.php?showtopic=55647

(17) пароли ломаются не в два счете. Если нет уязвимости, то ломаются они перебором. И вот тут есть принципиальная разница - сколько символов и используется ли произвольный набор букв или слово которое есть в словарях. Может получиться быстро, а может и много лет ломать надо.

(37) никак, или платить или бэкапы восстанавлмвать

(24) Да не особо вроде.

(41) Бэкапы то есть .dt?
Он их не покорежил?

(43) Так это вам виднее, покорёжил или нет.

(38)а время шифрования какое? какое время у созданных файлов? Вы в это время работали в сеансе?

(44) Пока объявлен карантин!

(46)кем и где объявлен? в чем выражается?

(45) Пока не могу ничего посмотреть. Нет сегодня
я не входил на этот компьютер.

Время создания этого файла PAROL может это?

Изменен: 5 ?октября ?2017 ?г., ??5:54:09

Потому что время создан и открыт

?5 ?октября ?2017 ?г., ??12:59:23

Это время переноса этого файла к себе.

(47) ПК, это выключили. И будут с ним детально разбираться.
Потом решать будем что делать.
Если там пишут что ни переустановка ни что не поможет. Какие есть варианты?
Форматирование всех дисков?

(48)да, значит шифрование происходило в 5:54 утра. в это время за ПК работал кто-нибудь?

(49) Вариант обратиться к специалистам не рассматривается?

(50) Нет. Он стоял включенным для удаленного доступа к нему для работы.

(51) Да все возможное будет рассматриваться видимо.
Но эти специалисты затребуют же средств. Одобрит ли это
работодатель.

+(50)время характерное, в том случае про который я пишу шифрование также производилось между 5 и 6 часами утра

+(54)похоже вирус придерживается принципа "Кто рано встает, тому Бог подает"

(50) а кто сказал что шифровальщик начинает шифровку сразу же?

(52)тогда очень похоже на проникновение через rdp, но вовсе не обязательно, что под Вашей учеткой, в Журналах событий вроде-бы должно быть видно под чьей учеткой был вход?

Посмотрел сейчас, там реально все зашифрованно, и .dt и все документы, все....!

(57) время зашифрованных файлов - странное основание для предположения проникновения по рдп

(57) Другие вроде пока не начинали работу ещё.
Систему переустановили в субботу. До этого была работа
по team viewer. То есть под ним и нужно было бы продолжить работу? Там не было никаких атак вроде.

(58) Т.е. так называемые "бэкапы" хранились на том же диске, что и данные? ССЗБ.

(59) По РДП ломануть если РДП не настроен это делов на часик-другой.

(61) Я не сис. админ.
Есть диск C, есть диск backup, на нем все и было в
разных каталогах.
Это все из за того что был слабый пароль?

https://habrahabr.ru/post/116769/

(63) Канешн, создаешь лям подключений в одно время и перебираешь.

(65) https://technet.microsoft.com/ru-ru/library/hh994574(v=ws.11).aspx

(63) Это всё из-за того, что кто-то решил сэкономить на админе, который способен настроить безопасное подключение. А скупой, как известно, платит дважды.

+ (67) и много и сразу см. JOB: Руководство спрашивает: почему оно вынуждено программистам много платить

(59)в Журнале событий ведь должны быть записи о сеансе?

(67) Можно поподробнее безопасное подключение по rdp,
как именно оно строится? Теоретически.

(69) Будут смотреть. Журнал событий Win 10 имеете ввиду?
А если скрипт? Как это выявить?
Журнал событий если было по rdp. А если не rdp как выявить?

(70) Так в яндексе почитай, статей куча: https://yandex.ru/yandsearch?&clid=2186623&text=безопасное%20подключение%20по%20rdp&lr=2

А лично я в этом плане вполне доверяю квалифицированным админам, особо не вникая в детали.

(72) Понятно. Ну так как я не адимн, тоже не вникаю в детали .... Стараюсь делать свою работу...

(70) А , стесняюсь спросить, сервер терминалов лицензионный или врап, как обычно в жадных конторах?

Логи винды посмотреть что мешает?

(73) А для чего тогда ветку завёл? Пусть админы и решают проблему, раз допустили шифрование файлов.

(76) На него "батон крошат". Типа ты работаешь один ночью - ты и запустил вирус. Что вполне возможно, если качать 1С-овские обработки с левых сайтов.

(74) что такое врап? и как лицензия (бумажка по сути) решает вопрос безопасности?

(78) https://yandex.ru/search/?text=windows%2010%20rdp%20несколько%20пользователей&lr=5&clid=2100784-306&win=282

(77) Для начала надо доказать, что это именно он. А во-вторых, даже если шифровальщик залез с компьютера ТС, то виноваты всё равно админы. Уже хотя бы в том, что бэкапы держат на том же компе.

(76) Говорили что это у меня комп заражен.
Что через него кто то влез к ним по rdp.
Я вот и решил поинтересоваться возможно ли такое.
Если у меня заражен как это выявить?
Или я не знаю а ко всем лезет?
Но другие rdp не жаловались.

(78) Без лицензии (бумажки по сути) сервер терминалов не работает:)

(77) Не я с этого компа даже в инет не выходил и ничего
не переносил на него такого.

(80) В конторах с таким админом не разбираются а назначают.

(78) так и решает) пкм на мой компьютер, а там ЗверДВД уиндовс 10 энтерпрайз таблэтка встроена

(81) "Если у меня заражен как это выявить? " - Наверное, наличием зашифрованных файлов. Насколько я слышал про шифровальщики, они сначала рассылают себя, а потом шифруют.

Ну и антивирусами разными пройдись. Судя по (39) этот шифровальщик не новый, и значит, антивирусы его уже выявят при наличии.

+(86) Если же разные антивирусы ничего не покажут, то смело шли их лесом.

(86) А антивирус аваст или 365 :)

(82) ну, вообще то работает, и об этом все знают кроме тебя )
(85) так шифровальщик тут причем?

(88) А Avira?

(87) Сначала слать лесом, а потом, за отдельную плату строить защиту.

(86)если не новый то можно в ДрВеб отправить образец зашифрованного файла, возможно у них уже есть дешифратор

(89) дроппер в комплекте
(90) рофл

(93) Как это?

(92)https://support.drweb.ru/new/free_unlocker/for_decode/

(94) Смеется он с вас. Для серьезных вещей авира годится мало. Особенно ее бесплатная версия. Касторского рекомендую, причем если вы хотите защиту от шифровальщиков - придется активировать проактивку и мучиться с ее паранойей - она будет вам рубить в том числе и вполне законные действия. Все это придется долго и муторно подстраивать.

(94) Не парься по мелочам. Твоя первоочередная задача поднять данные. Отправляй файлы к вэбу и касперу. Пробуй их утилиты по дешифрации.

(95) Вообще не палятся ребята

(96) Ну касперский платный. Нужно покупать.

А эти (88) же тоже бесплатные? И они лучше авиры?

(99) монописуальны. Ты точно из России?

(100) Я спросил, платными предлагаете пользоваться антивирусами?

(101) Лучшая политика это бэкап. Причем бэкап не только локальный но и в облака через спец. канал.

(101) Запомни уже наконец великую мудрость: Скупой платит дважды. А безопасность - это не та сфера, где нужно экономить. Например, сравни стоимость потерянных данных и связанного с этим простоя + затраты на восстановление и стоимость антивируса. Если стоимость сопоставима - вам антивирус не нужен.

(102) У меня был бэкап, пробую восстановить пишет, ошибка потока. Это от чего так? Бэкап битый?

(104+) Кажется платформа старая, попробую на новой.

(104) бэкапы надо еще и проверять, причем до, а не после

(104) DT - это не бэкап и никогда бэкапом не был.

А кажется просто dt тоже шифранули )

RDP последней версии с настройками по-умолчанию и хорошим паролем на 10 символов - это очень надежная вещь.
Все порты кроме RDP должны быть закрыты, номер порта не стандартный, ехо-ответ отключен, гостевая запись отключена.
Я не слышал чтобы ломали сам rdp. Это или знание или подбор тупого пароля (123456 или день рождение) или вирус изнутри сервер. Например зашли с сервера в инет и подцепили заразу.

(108) я копировал до этого.
Там сейчас к дт всякие буквы добавлены

Странно, платформа та же, но не разворачивается (

(99) нужно. Антивирус нужно покупать, еще нужно покупать нормальные файрволлы и еще, о ужас, надо платить специалистам которые разбираются в безопасности. А вы как хотели?

(111) открой блокнотом, в начале должно быть что то типа 1CDBMSV8

+ (112) если ничего из перечисленного приципиально не делать, но результат обычно такой как в (0)...

(113) Долго открывался файл в блокноте.
В начале там, -???????
Может что с кодировкой файла?

(115+) Японское иероглифы. Не отобразились при отправке.

(113) У меня вначале DT вот такое: 1CIBDmpF3

(116) Потому что не надо DT блокнотом открывать. Он для этого не предназначен. Смотри по F3 в том же ФАРе, например.

(118) А в Total commander можно по F3?

По F3 в total commander 1CIBDmpF3.

(120) Значит, это заголовок DT. Но это ещё не значит, что он не битый :)

Почему же он тогда не развернулся?
Ошибка потока, а другой более ранний развернулся.

(122) Потому что DT не гарантирует на 100% ни то, что он развернётся. Поэтому его и нельзя использовать в качестве бэкапа. Эта тема стара, как мамонт.

(123) А что использовать в качестве бэкапа файловой базы?

Поверишь? .1CD

(125) То есть, из каталога базы брать .1CD?
И потом его открывать, не выгружать .dt?
Так правильно?

6.9.1. Файловый вариант информационной базы

ВНИМАНИЕ! Резервное копирование необходимо выполнять перед любой операцией, которая может повредить данные, находящиеся в информационной базе.

ВНИМАНИЕ! Во время выполнения операции резервного копирования информационной базы в файловом варианте к информационной базе не должно быть никаких подключений (в том числе и конфигуратором).
Создание резервной копии осуществляется в любой программе, поддерживающей работу с файлами. С помощью программы работы с файлами необходимо открыть каталог с информационной базой. Для создания копии информационной базы можно просто скопировать файл 1Сv8.1CD в отдельный каталог. Для восстановления (в случае утери, порчи и т. д.) информационной базы достаточно скопировать сохраненный файл в прежний каталог.

Заметим, что для копирования информационной базы также можно использовать специализированное программное обеспечение, предназначенное для резервного копирования и восстановления данных.

Для повышения информативности резервной копии, рекомендуется включать в ее состав также файлы журнала регистрации (подробнее см. здесь), которые хранятся в каталоге 1Cv8Log каталога информационной базы. В этом случае восстановление информационной базы также желательно выполнять совместно с журналом регистрации (каталогом 1Cv8Log). В этом случае станет доступна информация по всем действиям, которые были выполнены в информационной базе до момента резервной копии.

Это с ИТСа

(123) В общем-то верно, но с 8.3.9:
Выгрузка информационной базы в файл .dt будет прервана при обнаружении проблем с внутренней стуктурой информационной базы.
http://downloads.v8.1c.ru/content//Platform/8_3_11_2528/1cv8upd.htm#ef625835-b613-11e6-a3f7-0050569f678a

(128) Ясно спасибо. В каких случаях тогда выгружать .dt?

(129) Неверно скопипастил:
"Выгрузка информационной базы в файл .dt НЕ будет прервана при обнаружении проблем с внутренней структурой информационной базы." :))

(130) В случае перевода файловой базы в скуль и обратно.

(123) .dt это бекап Шрёдингера

(131) но на ошибке формата потока она таки грохнется

(131) Нет ошибся в ссылке
http://downloads.v8.1c.ru/content//Platform/8_3_11_2528/1cv8upd.htm#a8f5068d-c7f7-11e4-a3f7-0050569f678a
и это в 8.3.7. 1С не очень последовательна :)

Выяснилась причина, от куда работали скрипты.
Под пользователем, -

asp.net

который обладал полными правами.
Никому не знакомо это?

(135)+ Хотя скорее в 8.3.7 поставили строгую проверку перед выгрузкой базы, а в 8.3.9 ослабили её, исключив проверки в маловажных структурах.

(0) а что ВПН нынче не кошерно?

(136) Поиск нагуглил это: https://otvet.mail.ru/question/25358006

(139) Спасибо, да говорили про Microsoft .NET Framework то что это с ней пришел этот файл.
И им пользуются злоумышленники? Нужно его удалять при его появлении?

(140+) То есть этот пользователь системы.

(140) Нет, злоумышленники пользуются безалаберностью пользователей и непрофессионализмом админов.

(142) Под этим пользователем работал злоумышленник.
То есть если бы его админ. во время удалил, этого бы не было?

(143) Если-бы не было админских прав - то да. Вообще выяснять нужно кто что недавно устанавливал откуда качал дистрибутив с NET. В большинстве случаев, "правильные" программы требуют самостоятельно скачивать его, а не в составе дистрибутива, ибо оно охраняется законом об авторстве.

(144) Ну как то он поставился, с какой то программой.
Или даже с операционной системой.

(145) Как, как. Какой-то админ скачал и поставил. Некоторые игрушки, кстати требуют установки  .NET Framework.

(145) С операционкой по умолчанию .NET Framework не ставится. Так что установка его - это вполне осмысленное действие.

(0) Сдается мне у ТС конфликт с предыдущим админом или программистом.

(145) Ну вот и ответ твоему начальству на претензии к тебе: NET не ставится автоматически с легальным контентом!!!
Это собственность майкрософта. Распространяется свободно, НО только с сайта майкрософта, все остальное - на свой страх и риск. Риск оказался неоправданым.

(148) Нет. На него "вешают" косяк админа, и думаю затраты на восстановление и простои.

(147) То есть принудительно он не может поставиться ни с операционной системой. Ни с 1с. Ни с какой другой нужной
программой?

Сам он не мог поставится и прописаться в пользователи?

(151) НЕТ!!! Еще раз. NET является собственностью компании майкрософт и только они вправе раздавать его бесплатно.

(153) Ну вот с win 10 при обновлении и встроили может его?

(152) Может, если прописан в составе дистрибутива (естественно с установкой с админскими правами), но данный дистрибутив автоматически становится "пиратским" в который может быть понапихано все что угодно, в том числе и шифровальщики и прочие трояны для автоматического снятия денег с Вашей личной банковской карты через клиент-банк.

(154) Ты по-моему переработал... Ты реально считаешь что единственный кто сегодня качал\устанавливал обновления винды?

вы там иис с .нет не попутали, нет?

После установки 1с никто не обнаруживал у себя .NET Framework?

Понятно, не известно от куда он взялся. У меня его нет.
И асп.нет этого тоже.

(155) Понятно, спасибо за развернутый ответ.

(160) Как личный совет. Рекомендуйте своему заказчику провести аудит его IT системы, сторонней организацией, специализирующейся на аутсорсинге. С соответствующими выводами о работе сисадмина. (хотя вменяемый начальник уже-бы расчитал такого админа).

(150) Сервер то какой? Система то понятно, а вдруг тс и зашифровал все?

(162) Да нету там ни чего, кроме авиры и прямого канала в инет с админскими правами всем входящим.

+ (163) и кучи софта (читать игрушек) качаемого с левых сайтов. Не удивлюсь, если втихарца и парнушкой балуются :)

(164) я и подумал - вы не устали бесплатно советы давать?

(165) Плачу той-же монетой. Мне тут много помогли абсолютно бесплатно... С некоторыми ещё и платно (на много дешевле чем местные франчи) посотрудничал.

(162) да легко, решил опубликовать базу, нашел на руборде самый древний надежный иис, согласился на "настроить фаервол", хоп и кошка больше не тороид, шаловливые ручки пробили анизотропную пленку спасавшую попу кошки от разжижающего мозги влияния ввв

Вот у нас админ молодец, дал мне доступ по RDP но я даже если захочу что-нибудь заразить вирусом, то все равно не смогу. Даже просто сам файл с вирусом нельзя положить на комп. Что уж говорить о том чтобы вирус сам туда попал. Вообще никак.

(168) Это ты не сможешь, а тот, кто поднял сам себе права с бесправной учетки asp.net - может. И шифровальщик - это не вирус.

(168) тебе подсказывал кто то как это сделать

(169) Да никто не сможет. Там же серверная операционка, и админ не тупой.
Москва - столица России.
(170) Не понятно. Ты про что?

Все же это идет бесплатно и требуется большинству программ .NET Framework.

(172) Назовите РАБОЧИЕ программы, которым позарез нужен NET. У меня в основном он хочет установиться тогда, когда устанавливаю игры

(0) На самом деле в винде дырок такая куча, что абсолютно не факт что через РДП это было. Моих клиентов на Вин2008 шифранули гениальным способом. Была такая дырка в winlogon - если ты 5 раз нажал шифт, то служба авторизации падала. Ну и короче - вешаешь отладчиком после этого cmd, который запускается, естественно, от имени системы, и заводишь из командной строки пользователя с любыми правами.

(173) https://www.microsoft.com/en-us/download/details.aspx?id=44989

(173) Точно не скажу, но на сколько помнится, что то требовало его установки в обязательно порядке.
Давно ничего не ставил.

(168) использовав одну из известных уязвимостей, можно запустить интерпретатор команд с правами системной службы и получить доступ. Зачастую это делается, вообще не имея прав входа в систему - просто специально сформированным пакетом через сетевую карту срывают стек и запускают что надо.

+(177) из свежего можно почитать по WanaCry, из более старого касательно винды - LoveSan (MSBlact), Sasser, Conficker и иже с ними.

(0) Бывает. Любой комп выставьте напрямую в интернет, а потом почитайте логи - там долбежка постоянная с подбором логинов

(96) антивирусы мало помогут, потому что реальный человек заходит по ломанному логину и запускает шифровальщик вручную.

Проверено на собственной шкуре

(173)"Назовите РАБОЧИЕ программы, которым позарез нужен NET."

из того, что пришло на память, например "Подготовка пакета электронных документов для государственной регистрации", недавно такую ставил и как-раз из-за нее пришлось NET.Framework поставить, ранее его на ПК не было
https://www.nalog.ru/rn77/program/5961271/
http://slob-expert.ru/spravochnye-materialy/besplatnye-programmy-v-pomoshh-buxgalteru/kak-prosto-podgotovit-dokumenty-dlya-gosregistracii/
"С программой «ППДГР» при первой установке обязательно нужно использовать следующие программы:
пакет Microsoft NET.Framework 4.0. Если этот пакет не установлен на ваш компьютер, его необходимо установить. Ссылка на пакет Microsoft NET.Framework 4.0 — ссылка;
Microsoft Access Database Engine 2010. Установить эту программу можно по ссылке — ссылка."

(151)"То есть принудительно он не может поставиться ни с операционной системой. Ни с 1с. Ни с какой другой нужной
программой?"

так можно-же посмотреть когда он был поставлен, может он давным-давно установлен, проверьте дату его установки.

(174) пятикратное нажатие шифта включает режим залипания клавиш. У меня так.

(183) Ага, и падение службы авторизации. Я всегда так делаю если нужно войти на сервер на работе когда админ отсутствует.

(184)ОС какая?

(185) Server 2016 Datacenter

(0)Один из самых популярных методов заражения криптолокером - RDP. Банальный брутафорс.

Проблема в том что многие выставляют RDP со старыми протоколами защиты, и слабым паролем.

Если выставляете RDP наружу - там есть штатные методы обеспечения безопасности, плюс пара пользователь- пароль должна быть достаточно сложной для брутафорса.

(0) Что-то древнее вы там словили: https://forum.drweb.com/index.php?showtopic=324287

Не факт, что сервис дешифровки до сих пор работает.