файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer , Filecoder.Crysis / Encoder.3953; r/n: info.hta

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
   .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer
Вирус шифровальщик [goodjob24@foxmail.com]. помогите расшифровать  
Цитата
Ариф Нафиев написал:
Вирус шифровальщик [ goodjob24@foxmail.com ]. помогите расшифровать  
добавьте образ автозапуска системы где произошло шифрование,
Здравствуйте.

Поймали шифровальщика на один из компьютеров, все файлы зашифрованы, также зашифровались файлы на файловом сервере (замаплен сетевой диск на зараженной машине).

Все зашифрованные файлы получили имена вида: %file_name%.id-A8762622.[surprise24@rape.lol].adobe

Помогите пожалуйста с расшифровкой, все необходимые логи и данные предоставим.

Спасибо.
Изменено: Валентин Терехов - 26.11.2018 19:38:00
Цитата
Валентин Терехов написал:
Все зашифрованные файлы получили имена вида: %file_name%.id-A8762622.[ surprise24@rape.lol ].adobeПомогите пожалуйста с расшифровкой, все необходимые логи и данные предоставим.
@Валентин Терехов,
добавьте образ автозапуска с компутера, где произошло шифрование.
+
несколько зашифрованных файлов, а так же файл info.hta в архиве
Сделано:
@Валентин Терехов,

1. C Antivirus 4.2.76.1  надо давно уже уходить, в особенности, если это корпоративный пользователь.

Цитата
ESET NOD32 Antivirus Business Edition
Version Release Date Latest build Updated Status Next Status Expected EOL
4 2-Mar-09 4.2.76.0 12-Jan-12 Basic Support End of Life Dec 2018*

ESET Smart Security Business Edition
Version Release Date Latest build Updated Status Next Status Expected EOL
4 2-Mar-09 4.2.76.0 12-Jan-12 Basic Support End of Life Dec 2018*

есть 5, 6 и 7 линейка корпоративных продуктов в которых защита значительно улучшена по сравнению с 4 линейкой.

2. активных шифраторов в системе уже нет
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR

deldirex %SystemDrive%\PROGRAMDATA\ASKPARTNERNETWORK\TOOLBAR\BTR-V7\CRX

deldirex %SystemDrive%\USERS\TEMA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\BOSS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\SERG\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delall %SystemDrive%\USERS\BOSS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PUNTO SWITCHER.LNK.ID-A8762622.[SURPRISE24@RAPE.LOL].ADOBE
delref HTTP://WWW.SEARCH.ASK.COM/?TPID=ORJ-SPE&O=APN11406&PF=V7&TRGB=IE&P2=%5EBBE%5EOSJ000%5EBZ%5ERU&GCT=HP&APN_PTNRS=BBE&APN_DTID=%5EOSJ000%5EBZ%5ERU&APN_DBR=IE&APN_UID=793CAB57-BBF9-40BB-9883-F7AC5D535D6F&ITBV=12.21.0.114&DOI=2014-12-04&PSV=&PT=TB
delref HTTP://WWW.SEARCH.ASK.COM/WEB?TPID=ORJ-SPE&O=APN11406&PF=V7&P2=^BBE^OSJ000^YY^RU&GCT=SB&ITBV=12.21.0.114&APN_UID=793CAB57-BBF9-40BB-9883-F7AC5D535D6F&APN_PTNRS=BBE&APN_DTID=^OSJ000^YY^RU&APN_DBR=IE&DOI=2014-12-04&TRGB=IE&Q={SEARCHTERMS}&PSV=&PT=TB
delref %SystemDrive%\USERS\BOSS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-A8762622.[SURPRISE24@RAPE.LOL].ADOBE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC
delref %Sys32%\1PAYLOAD.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\BOSS\APPDATA\ROAMING\INFO.HTA
apply

regt 28
regt 29
deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER.EXE 
delref %SystemDrive%\USERS\BOSS\APPDATA\LOCAL\TEMP\YUPDATE-PING-YADISK.TEMP
delref %SystemDrive%\USERS\BOSS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\USERS\BOSS\APPDATA\LOCAL\TEMP\JRE-8U144-WINDOWS-AU.EXE
delref G:\SETUP.EXE
delref %SystemRoot%\UNVISE32QT.EXE
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\USERS\BOSS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\HELPER@SAVEFROM.NET.CRX
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref SLDWORKS SHELL EXTENSION\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref {240629A2-EDE1-4FE8-B8BB-D4974A9B9600}\[CLSID]
delref {C5F6CDD1-FB7B-4971-A53F-4B00757F756B}\[CLSID]
delref {75EF3512-D401-4172-BA0F-00E000DCBCE4}\[CLSID]
delref {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB}\[CLSID]
delref {9CE04609-A360-4266-9937-9D799E8D2D5A}\[CLSID]
delref {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32}\[CLSID]
delref {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\HD-SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\HD-HYPERVISOR-AMD64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\HD-PLUS-SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKDRV.SYS
delref %SystemRoot%\GDRV.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\TEMA\APPDATA\ROAMING\YANDEX\YANDEXDISK\WOW64\YANDEXDISKSHELLEXT-3998.DLL
delref %SystemDrive%\USERS\BOSS\APPDATA\LOCAL\YANDEX\UPDATER2\U2-CTRL.EXE
delref %SystemDrive%\USERS\TEMA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref %SystemDrive%\USERS\BOSS\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-CTRL.EXE
delref %SystemDrive%\USERS\BOSS\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_73\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\BOSS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref %SystemDrive%\USERS\SERG\APPDATA\ROAMING\YANDEX\YANDEXDISK\WOW64\YANDEXDISKSHELLEXT-4724.DLL
delref %SystemDrive%\USERS\SERG\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref %SystemDrive%\USERS\SERG\APPDATA\ROAMING\YANDEX\YANDEXDISK\WOW64\YANDEXDISKSHELLEXT-4602.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFX3D.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFXADJUSTTRANS.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFXCREATIVE.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFXTEXTURE.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFXBLUR.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFXNOISE.DLL
delref %SystemDrive%\PROGRAM FILES\SOLIDWORKS CORP\SOLIDWORKS\MOTION\CMOTIONSWAPI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKSVC.EXE
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFXCONTROLS.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFXARTSTROKES.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFX.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CORELDRW.EXE
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFXRENDER.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFXPHOTO.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFXDISTORT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFXSHARPEN.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFXCUSTOM.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFXCLRTRANS.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLUISVR.EXE
delref %SystemDrive%\PROGRAM FILES\SOLIDWORKS CORP\EDRAWINGS X64 EDITION\EMODELVIEW.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CORELPP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKC.DLL
delref %SystemDrive%\PROGRAM FILES\SOLIDWORKS CORP\EDRAWINGS X64 EDITION\EMODELVIEWER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\SOLIDWORKS CORP\SOLIDWORKS\SCANTO3D\ADDIN\NEMODEL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\CRLFXCONTOUR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\SOLIDWORKS CORP\SOLIDWORKS\MOTION\CMOTIONSW.DLL
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\BARCODE.EXE
delref %SystemDrive%\PROGRAM FILES\SOLIDWORKS CORP\EDRAWINGS X64 EDITION\EMODELXLATOR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\SOLIDWORKS CORP\EDRAWINGS X64 EDITION\EMODELXLATORPROE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\SOLIDWORKS CORP\EDRAWINGS X64 EDITION\EMODELEXPORT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\SOLIDWORKS CORP\EDRAWINGS X64 EDITION\EMODELREVIEWER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\TOUCHINFORM\TSRUNTIME\LACCCTRL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref D:\CHECKVER.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\SOLIDWORKS CORP\EDRAWINGS\EMODELVIEWER.EXE
delref %SystemDrive%\USERS\BOSS\DESKTOP\CMS\WNDMAN~1.OCX
delref D:\DRIVE~1D.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SOLIDWORKS CORP\EDRAWINGS\EMODELXLATOR.DLL
delref %SystemDrive%\PROGRAM FILES\SOLIDWORKS CORP\SOLIDWORKS\SWVBASERVER\SWVBASERVER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SOLIDWORKS CORP\EDRAWINGS\EMODELREVIEWER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRA~2\COMMON~1\ISKYSOFT\ISKYSO~1\ISHELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SOLIDWORKS CORP\SOLIDWORKS EXPLORER\PDMWORKS CLIENT 2014\PDMWADDIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\USERS\BOSS\DESKTOP\CMS\MAPCTRL.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\SOLIDWORKS CORP\EDRAWINGS\EMODELXLATORPROE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SOLIDWORKS CORP\EDRAWINGS\EDRAWINGOFFICEAUTOMATOR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\SOLIDWORKS CORP\SOLIDWORKS\SIMULATION\PARAMETRICOBJECT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SOLIDWORKS CORP\EDRAWINGS\EMODELEXPORT.DLL
delref %SystemRoot%\TEMP\E_S4BAA.TMP
delref %SystemRoot%\TEMP\E_SEC84.TMP
delref %SystemRoot%\TEMP\E_SD41D.TMP
delref %SystemRoot%\TEMP\E_SE655.TMP
delref %SystemRoot%\TEMP\E_SF488.TMP
delref %SystemRoot%\TEMP\E_S747A.TMP
delref %SystemRoot%\TEMP\E_S1F42.TMP
delref {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\[CLSID]
delref J:\SETUP.EXE
delref F:\HTC_SYNC_MANAGER_PC.EXE
delref K:\HTC_SYNC_MANAGER_PC.EXE
delref I:\STARTME.EXE
delref I:\HTC_SYNC_MANAGER_PC.EXE
delref %SystemDrive%\USERS\BOSS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\NPUNITY3D32.DLL
delref %SystemDrive%\USERS\BOSS\DOCUMENTS\1C-CONNECT\1C-CONNECT.EXE
delref %SystemDrive%\USERS\BOSS\APPDATA\ROAMING\YANDEX\YANDEXDISK2\YANDEXDISK2.EXE
delref %SystemDrive%\USERS\BOSS\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\MBLAUNCHER.EXE
delref %SystemRoot%\INSTALLER\{27AE72A4-B217-4CDC-B82B-3311E9D7460E}\NEWSHORTCUT1_41AAC0AC880545E6A1C81230F4159C30.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LANAGENT\LANAGENT.EXE
delref %SystemDrive%\LEDCTRL\LEDVIDEO.EXE
delref %SystemDrive%\TOTALCMD\TOTALCMD.EXE
delref %SystemDrive%\TOTALCMD\TCUNINST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BLUESTACKS.EXE
delref %SystemDrive%\BOARDMASTER PRO_CAPTCHA\BM5PROP.EXE
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\PROGRAMS64\FONTMANAGER.EXE
delref %SystemDrive%\HD2014\HD2014.EXE
delref %SystemDrive%\BOARDMASTER PRO_CAPTCHA\UNINS000.EXE
delref F:\PROGRAM FILES\COREL\CORELDRAW GRAPHICS SUITE 2017\VIDEOBROWSER64\VIDEOBROWSER.EXE
delref %SystemDrive%\ECUT\UNINS000.EXE
delref %SystemDrive%\HD2014\UNINS000.EXE
delref %SystemDrive%\PICASO-3D\POLYGON 2.0\POLYGON.EXE
delref %SystemDrive%\PYTHON26\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\PYTHON26\TOOLS\SCRIPTS\PYDOCGUI.PYW
delref %SystemDrive%\TOUCHINFORM\TSRUNTIME\TSKEYASST.EXE
delref %SystemDrive%\TOUCHINFORM\TSRUNTIME\TSRUNTIME.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
3. по расшифровке файлов при наличие лицензии на продукты ESET сделайте запрос в support@esetnod32.ru
(хотя расшифровки по crysis.adobe на текущий момент нет)

4. важные зашифрованные документы, сохраните на отдельный носитель, возможно расшифровка станет доступной в будущем.
MG_20180625_145500.jpg.id-306DABD1.[stopencrypt@qq.com].adobe
такая же проблема весь комп зашифровался adobe  
Изменено: Сергей Зубков - 27.11.2018 07:23:34
Цитата
Сергей Зубков написал:
такая же проблема весь комп зашифровался adobe  

добавьте образ автозапуска с компутера, где произошло шифрование.
+
несколько зашифрованных файлов, а так же файл info.hta в архиве
Цитата
santy написал:
Цитата
 Сергей Зубков  написал:
такая же проблема весь комп зашифровался adobe  
добавьте образ автозапуска с компутера, где произошло шифрование.
+
несколько зашифрованных файлов, а так же файл info.hta в архиве
залил файлы  в предыдущим сообщении
Читают тему (гостей: 1)