судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[castor-troy-restore@protonmail.com].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt.id-E8F4FE5C.[decrypthelp@qq.com].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе.

Цитата

santy написал: судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[castor-troy-restore@protonmail.com].java это не Crysis, какой-то другой вариант шифратора. у Crysis.java друго шаблон шифрованного файла, с добавлением ID: inf.txt. id-E8F4FE5C .[decrypthelp@qq.com].java т.е. имя файла+расширение + ID-Hex8+mail+.java если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве. + добавьте файл записки о выкупе

Хорошо.
Завтра добавлю.

Цитата

Edward Kan написал: Цитата  santy  написал: судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[ castor-troy-restore@protonmail.com ].java это не Crysis, какой-то другой вариант шифратора. у Crysis.java друго шаблон шифрованного файла, с добавлением ID: inf.txt. id-E8F4FE5C .[ decrypthelp@qq.com ].java т.е. имя файла+расширение + ID-Hex8+mail+.java если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве. + добавьте файл записки о выкупе Хорошо. Завтра добавлю.

Добрый день.
2 файла: http://rgho.st/8XPhMV4RW
Требование об оплате: http://rgho.st/6S7kpfpT5

Цитата
Edward Kan написал: Добрый день.2 файла:  http://rgho.st/8XPhMV4RW Требование об оплате:  http://rgho.st/6S7kpfpT5

нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в support@esetnod32.ru

Цитата

santy написал: Цитата  Edward Kan  написал: Добрый день.2 файла:   http://rgho.st/8XPhMV4RW  Требование об оплате:   http://rgho.st/6S7kpfpT5   нужны: 1. линк проверки на vt указанного выше файла 2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования. 3. если есть записка о выкупе в виде файла, то нужен именно такой файл. -------------- добавлю так же, что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в support@esetnod32.ru

1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.

Цитата

Edward Kan написал: Цитата  santy  написал: Цитата  Edward Kan  написал: Добрый день.2 файла:    http://rgho.st/8XPhMV4RW   Требование об оплате:    http://rgho.st/6S7kpfpT5   нужны: 1. линк проверки на vt указанного выше файла 2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования. 3. если есть записка о выкупе в виде файла, то нужен именно такой файл. -------------- добавлю так же, что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в  support@esetnod32.ru 1. Что такое VT 2. Чистых файлов нету. 3. Файла нет.

1. этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.

2. проверьте в этой папке есть зашифрованные файлы?
C:\Users\Public\Pictures\Sample Pictures
если есть, тогда добавьте несколько зашифрованных файлов из этой папки

3. можете самостоятельно попытаться идентифицировать шифратор
https://id-ransomware.malwarehunterteam.com/index.php

Цитата

santy написал: Цитата  Edward Kan  написал: Цитата  santy  написал: Цитата  Edward Kan  написал: Добрый день.2 файла:     http://rgho.st/8XPhMV4RW    Требование об оплате:     http://rgho.st/6S7kpfpT5     нужны: 1. линк проверки на vt указанного выше файла 2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования. 3. если есть записка о выкупе в виде файла, то нужен именно такой файл. -------------- добавлю так же, что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в   support@esetnod32.ru   1. Что такое VT 2. Чистых файлов нету. 3. Файла нет. 1. этот файл вам знаком? C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE если нет, проверьте здесь http://virustotal.com  и дайте нас ссылку проверки в вашем сообщении. 2. проверьте в этой папке есть зашифрованные файлы? C:\Users\Public\Pictures\Sample Pictures если есть, тогда добавьте несколько зашифрованных файлов из этой папки 3. можете самостоятельно попытаться идентифицировать шифратор https://id-ransomware.malwarehunterteam.com/index.php

1. В данном месте нету файла.
https://www.virustotal.com/#/file/5d0ee7682690a644a2a3de8e2e4c747d135ebba6453b46dee14e01­ba80ed7502/d...
Проверил первый раз показал вирус trojan.Раздел Microsoft.
Проверил второй раз фай чистый, проверил другой файл тоже чистый.
2.В той папке нету файлов.

судя по образу был активен в момент создания образа.

Цитата

Полное имя                  C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE Имя файла                   MARVEL.EXE Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске                             Удовлетворяет критериям     RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]                             Сохраненная информация      на момент создания образа Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске Процесс                     32-х битный File_Id                     5B30D956A2000 Linker                      14.11 Размер                      260608 байт Создан                      17.07.2018 в 03:24:58 Изменен                     25.06.2018 в 21:00:24                             TimeStamp                   25.06.2018 в 12:00:22 EntryPoint                  + OS Version                  5.0 Subsystem                   Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL              - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись               Отсутствует либо ее не удалось проверить                             Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла               Типичен для вирусов и троянов                             Доп. информация             на момент обновления списка pid = 3616                  IRAS\iraira1234 CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe" Процесс создан              16:06:12 [2018.07.17] С момента создания          00:40:12 parentid = 3752             pid = 3716                  IRAS\iraira1234 CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe" Процесс создан              16:06:10 [2018.07.17] С момента создания          00:40:15 parentid = 2684             SHA1                        A33551836E5284132CC9AEDC28D9EA3450AA0128 MD5                         96C3139F571A36A1E8968208D40A4FC1                             Ссылки на объект             Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R­un\MarvelHost MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe                             Ссылка                      HKEY_USERS\S-1-5-21-2137272904-2086164111-3768165105-1001\Software\Microsoft\Windows\CurrentVersion\Run\MarvelHos­t MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe                             Образы                      EXE и DLL MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING

линк проверки нужен именно для этого файла.

Цитата

santy написал: судя по образу был активен в момент создания образа. Цитата Полное имя                  C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE Имя файла                   MARVEL.EXE Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске                             Удовлетворяет критериям     RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]                             Сохраненная информация      на момент создания образа Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске Процесс                     32-х битный File_Id                     5B30D956A2000 Linker                      14.11 Размер                      260608 байт Создан                      17.07.2018 в 03:24:58 Изменен                     25.06.2018 в 21:00:24                             TimeStamp                   25.06.2018 в 12:00:22 EntryPoint                  + OS Version                  5.0 Subsystem                   Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL              - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись               Отсутствует либо ее не удалось проверить                             Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла               Типичен для вирусов и троянов                             Доп. информация             на момент обновления списка pid = 3616                  IRAS\iraira1234 CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe" Процесс создан              16:06:12 [2018.07.17] С момента создания          00:40:12 parentid = 3752             pid = 3716                  IRAS\iraira1234 CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe" Процесс создан              16:06:10 [2018.07.17] С момента создания          00:40:15 parentid = 2684             SHA1                        A33551836E5284132CC9AEDC28D9EA3450AA0128 MD5                         96C3139F571A36A1E8968208D40A4FC1                             Ссылки на объект             Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R­ ­un\MarvelHost MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe                             Ссылка                      HKEY_USERS\S-1-5-21-2137272904-2086164111-3768165105-1001\Software\Microsoft\Windows\CurrentVersion\Run\MarvelHos­ ­t MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe                             Образы                      EXE и DLL MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING                             линк проверки нужен именно для этого файла.

https://www.virustotal.com/#/file/333ab4a2d64a023ce61d0c2f4ce109b3c08f8e50b34156b7f7613a­c575a97cd0/d... MARVEL.EXE
Нашелся.

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE apply czoo restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z)  отправить в почту safety@chklst.ru, support@esetnod32.ru  
------------