Vasiliy Chumakov

У вас в системе хвост от Касперского.
Примените для удаления: http://www.comss.ru/download/kav+removal+tool.html

да, это не хвост наверное, а установленный продукт
Kaspersky Endpoint Security 10 для Windows

В списке программ нет продуктов: Kaspersky
Вероятно это след от сканера.
-------------
Полное имя                  C:\WINDOWS\SYSTEM32\DRIVERS\CEF2EA62.SYS
Имя файла                   CEF2EA62.SYS
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ драйвер в автозапуске [SAFE_MODE]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ драйвер в автозапуске [SAFE_MODE]
File_Id                     558314C5762000
Linker                      8.0
Размер                      478392 байт
Создан                      26.06.2018 в 09:23:14
Изменен                     26.06.2018 в 09:23:14
                           
TimeStamp                   18.06.2015 в 18:58:13
EntryPoint                  +
OS Version                  0.0
Subsystem                   No subsystem required (device drivers and native system processes)
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Kaspersky Lab
                           
Оригинальное имя            KL1.SYS
Версия файла                6.8.0.54
Версия продукта             6.0.1.990
Продукт                     Kaspersky Anti-Virus
Copyright                   © 2015 Kaspersky Lab ZAO. All Rights Reserved.
Производитель               Kaspersky Lab ZAO
                           
Доп. информация             на момент обновления списка
SHA1                        08ABA752A516CA292021AA8A51621865E4C3D9BB
MD5                         BEE1682DA217A4AD46C36896769AA580
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\CEF2E­A62.sys\
                           
Ссылка                      HKLM\System\CurrentControlSet\Control\SafeBoot\Network\CEF2E­A62.sys\
                           
Ссылка                      HKLM\System\CurrentControlSet\Services\CEF2EA62\ImagePath
ImagePath                   system32\drivers\CEF2EA62.sys
CEF2EA62                    тип запуска: На этапе загрузки (0)

RP55, согласен.

Здравствуйте.
Зашифровали файлы на пк, все файлы стали по типу s0qNLbeALsEOhtVb8AoRXGWAy3Rexstm=tBUSg7W.ukrain.Как избавиться от вируса и возможно ли восстановить данные?
Образ автозагрузки: http://rgho.st/6x2cQszS7
Архив с запиской: http://rgho.st/8Kwqyr7nd
Примеры зашифрованных файлов: http://rgho.st/6lmFQvvVl
Архив с файлом, предположительно из-за открытия которого началось шифрование: хттп://rgho.st/8fvnpZyZc

похоже, свежий вариант Scarab
https://id-ransomware.malwarehunterteam.com/identify.php?case=1bd692ef3e3f6ca036eb30edf7dcd63ebecaedac
детект вредоноса:
Время;Сканер;Тип объекта;Объект;Угроза;Действие;Пользователь;Информация;Хэш;Первое обнаружение
25.07.2018 16:03:04;Фильтр HTTP;файл;Скан июль.gz;Win32/Filecoder.FS троянская программа;соединение прервано;;Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe (C32AB99A21DA3FB4985EEC0F9EB2499688A1E400).;128A5CDEFDC7FC7B1FA3A2629307670A60F4B918;
+
от Amigo-A & thyrex:
https://twitter.com/Amigo_A_/status/1022036778012864514
https://twitter.com/thyrex2002/status/1022031471316484096
+
Обновление от 24 июля 2018:
Расширение: .ukrain
Email: [email protected], [email protected]
Файл с вредоносным вложением: реквизиты июль.gz
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT

Scarab with .ukrain extension https://www.sendspace.com/file/sh8vda  ransom note and encrypted file.
User run file "реквизиты июль.gz", which have received by email. Malware file name C:\Users\User\AppData\Roaming\osk.exe

https://id-ransomware.blogspot.com/2018/06/scarab-bomber-ransomware.html
--------------
по возможности расшифровки обращайтесь в [email protected] если вы являетесь лицензионным пользователем ESET

@Павел м,

статус ваших файлов на ID Ransomware изменился.
This ransomware may be decryptable under certain circumstances.
(Это ransomware может быть дешифруемым при определенных обстоятельствах/условиях).
по возможности расшифровки обращайтесь в [email protected] если вы являетесь лицензионным пользователем ESET

Здравствуйте!
С воскресенья на понедельник, ночью, началось шифрование. Шифрование затронуло выборочно 3 компьютера и сетевое хранилище D-link/ Зашифрованы оказались файлы в папках, которые были расшарены по сети, остальные файлы оказались нетронутыми. Не можем найти откуда проник зловред, помогите пожалуйста Ночью на работе никого не было, письма никто никакие не открывал.

добавьте образы автозапуска с пострадавших копьютеров.
если на пострадавших компьютерах были затронуты шифратором только расшаренные папки, тогда запуск был скорее всего с другого компа.
добавьте в архиве записку о выкупе и несколько зашифрованных файлов.
-----------
если взлом одного из компьютеров был по сети, то необязательно, чтобы кто-то при этом был на работе, достаточно того, чтобы компьютеры были включены и доступны для подключения извне.

отправил образ автозапуска одного из компов + в архиве зашифрованные файлы