Классика жанра, бухгалтер запустил файл с налоговой задолженностью
 

Добрый день. Ну когда же уже бухгалтера начнут вначале думать головой, а потом что-то делать. Всё по классике, бухгалтеру пришло письмо с типа "Налоговой задолженностью" и естественно она скачивает файл из него и пытается открыть. Распаковывает содержимое и запускает из него файл скрипта виндового. И только когда ничего не получается она звонит с вопросом как открыть это файл. Причём она уже умудрилась не просто скачать, но и распаковать содержимое. Правда сказала что когда запустила какая-то ошибка появилась, какая она естественно не помнит. Я проверил, пока зашифрованных файлов нет на компе, но как-то хочется быть уверенным что он таки не успел сработать. Посмотрите пожалуйста образ автозапуска этой системы. Спасибо.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Полагаю тогда, когда будут сами оплачивать восстановление зашифрованных файлов 1С. А это весьма недешевое удовольствие. По-другому никак!

Всё зависит от сисадмина, я когда работал админом, у меня тоже главбух была "классика жанра" но после пары случаев когда она подцепляла на свою машину вирусню, был у нас с ней разговор, во время которого я ей популярно объяснил чем грозит ей такие необдуманные поступки, после чего она стала либо проверять скачанный файл антивирусом перед запуском, либо вызывала меня прежде чем что-то скачать/открыть по ссылке.

Вменяемая барышня попалась. В моей практике такое случалось не часто. Чаще всего приносили зашифрованную БД и прочили быстренько расшифровать, т.к. уже надо с ней работать. ;)

Никогда они не начнут думать, иначе админы и эникеи станут менее востребованы.
В качестве профилактических мер рекомендую сделать следующее:
1. Исключить учетную запись пользователя из группы администраторов;
2. Реализовать политику ограничения использования программ SRP, на локальном уровне (если сетка не доменная), делается через secpol.msc;
3. Установите антивирус и запарольте его, чтобы пользователь не мог его самостоятельно отключить;
4. Позаботьтесь о бэкапах, хотя бы папки профиля пользователя.