Выбрать дату в календареВыбрать дату в календаре

WannaCash
[QUOTE]Вячеслав Соломин написал:
Добрый день, у меня точно такая же проблема как у Юрия, какие шансы на восстановления файлов (в основном фото, остальные не нужны), не знаю что делать или договариваться с злодеями или полагаться на лабораторию NOD32. Вопрос не в деньгах, а в результате. Полагаюсь  на ваш опыт.  [/QUOTE]
добавьте образ автозапуска системы
+
несколько зашифрованных файлов в архиве
WannaCash
[QUOTE]Валерия Радюк написал:
Написала в техподдержку:  support@esetnod32.ru , спасибо за помощь. Подойдут любые чистые файлы? И записка о выкупе отсутствует


Изменено: Валерия Радюк  - 26.07.2020 18:17:31[/QUOTE]
желательно, чтобы были пары чистый - зашифрованный файл из офисных документов (docx, xlsx). Если нет этих, то хотя был jpg
WannaCash
[QUOTE]Юрий Иванов написал:
нет эта папка пустая[/QUOTE]
уже не первый раз замечаю.
Видимо шифраторы удаляют содержимое этих папок, чтобы не было возможности собрать пары чистый-зашифрованный
WannaCash
[QUOTE]Юрий Иванов написал:
постараюсь найти только завтра ( впонедельник), вроде копия дос файлов была в офисе[/QUOTE]
+
посмотрите, есть ли среди зашифрованных файлов файлы из этой папки:
C:\Users\Public\Pictures
потому что подобрать чистые к ним можно из чистой аналогичной системы
WannaCash
[QUOTE]Юрий Иванов написал:
да я понял, тема на  Вирусинфо закрыта.
Спасибо за помощь. отправил запрос в техподдержку:  [URL=mailto:support@esetnod32.ru]support@esetnod32.ru[/URL] .
А обязательно чистые и шифрованные файлы. У меня все файлы зашифрованы.
Что делать?[/QUOTE]
теперь надо будет ждать что ответит вирлаб. наличие пар чистый-зашифрованный желательно. для получения ключа расшифровки.
WannaCash
[QUOTE]Юрий Иванов написал:
Высылаю файл   образа автозапуска[/QUOTE]

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAJFLEPEGNONONCFMOIKDNEPHFLELDNBH%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBOBEEHHGPNPPDGHMFFFDJADMBJBAEEOD%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DENAFHPJMLNPMBDNBPJKIHMADNKFNPIIM%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPGJFMBLHACACPHALJKDCJLLKOMDCJPC%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHJDKFKDKOKPHFPLOIIDDAKJOKNDINFGB%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIEPOEGKAOELJNBHAGABAKJODGPFNIIMO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIMHLIANHLHDICJCHLBMBFAEFHHJENCBE%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGDNILODCPLJOMELBBNPGDOGDBMCLBNI%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOILHEBPJHNJAEGHEDPJNMAJAJLCFDJGC%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCODCGBPJDPHNCJKENGNFIGOIEMAIAPC%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

regt 27

; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U

deltmp
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPSI.INF_AMD64_6AF46268C19E4980\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPSI.INF_AMD64_6AF46268C19E4980\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref D:\TEMP\YANDEX_BROWSER_BITS_2972_1895424119\RESPONSE
delref D:\TEMP\YANDEX_BROWSER_BITS_2972_1843795578\RESPONSE
delref D:\TEMP\YANDEX_BROWSER_BITS_9616_337662462\RESPONSE
delref D:\TEMP\YANDEX_BROWSER_BITS_10536_1858779715\RESPONSE
delref D:\TEMP\YANDEX_BROWSER_BITS_13716_1155156586\RESPONSE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\APRP\APRP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\7.5.0\DRIVERBOOSTER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\7.5.0\AUTOUPDATE.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {5AA199A0-1CED-43A5-9B85-3226086738A3}\[CLSID]
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {BAD4FE2C-503B-45CC-88CD-4B0574057D11}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref {8A56567E-A333-4843-B6E1-C3A262E41D8C}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\USBVIDEO.SYS
delref %Sys32%\DRIVERS\SCMDISK0101.SYS
delref %Sys32%\WINDOWSANYTIMEUPGRADERESULTS.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\UNP\UNPCAMPAIGNMANAGER.EXE
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASCSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\WIN10_AMD64\ASCFILEFILTER.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\WIN10_AMD64\ASCREGISTRYFILTER.SYS
delref %SystemRoot%\TEMP\CPUZ145\CPUZ145_X64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\MONITOR_WIN10_X64.SYS
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPSI.INF_AMD64_6AF46268C19E4980\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPSI.INF_AMD64_6AF46268C19E4980\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref IRENUM\[SERVICE]
delref %SystemDrive%\USERS\YURICH\APPDATA\ROAMING\MOZILLA\FIREFOX\P­ROFILES\3QWHS6O5.DEFAULT-1524584060953\EXTENSIONS\HOMEPAGE@MAIL.RU.XPI
delref %SystemDrive%\USERS\YURICH\APPDATA\ROAMING\MOZILLA\FIREFOX\P­ROFILES\3QWHS6O5.DEFAULT-1524584060953\EXTENSIONS\{A38384B3-2D1D-4F36-BC22-0F7AE402BCD7}.XPI
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\WBEM\WEMSAL_WMIPROVIDER (1).DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPSI.INF_AMD64_6AF46268C19E4980\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPSI.INF_AMD64_6AF46268C19E4980\NVDECMFTMJPEG.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPSI.INF_AMD64_6AF46268C19E4980\NVENCMFTHEVC.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref {5A8FF410-F3CE-4844-B31B-F18D911239E8}\[CLSID]
delref {8ABE89E2-1A1E-469B-8AF0-0A111727CFA5}\[CLSID]
delref %SystemDrive%\USERS\YURICH\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\­ONEDRIVE.EXE
delref G:\WEBMONEY\WEBMONEY.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
при наличие лицензии на антивирус от компании ESET обращайтесь в техподдержку: support@esetnod32.ru

надо будет сделать логи в программах:
esetlogcollector:
https://www.eset.com/int/support/log-collector/
и
ESETSysVulnCheck.exe
ftp://ftp.nod.sk/samples/svchecker/ESETSysVulnCheck.exe
+
добавить в архив несколько зашифрованных файлов,
+
если есть возможность добавить пары чистые файлы-зашифрованные файлы,
желательно чтобы это были офисные документы: docx, xlsx
+
записку о выкупе,
+
если сохранилось - тело шифратора в архиве с паролем infected

все это надо будет отправть в техподдержку support@esetnod32.ru
WannaCash
Юрий, нужен образ автозапуска
WannaCash
Валерия,

при наличие лицензии на антивирус от компании ESET обращайтесь в техподдержку: support@esetnod32.ru

надо будет сделать логи в программах:
esetlogcollector:
https://www.eset.com/int/support/log-collector/
и
ESETSysVulnCheck.exe
ftp://ftp.nod.sk/samples/svchecker/ESETSysVulnCheck.exe
+
добавить в архив несколько зашифрованных файлов,
+
если есть возможность добавить пары чистые файлы-зашифрованные файлы,
желательно чтобы это были офисные документы: docx, xlsx
+
записку о выкупе,
+
если сохранилось - тело шифратора в архиве с паролем infected
WannaCash
[QUOTE]Валерия Радюк написал:
Здравствуйте. Зашифрованными оказались файлы с рабочие документы, часть личных фото. Каждый зашифрованный файл переименован "Файл [название документа] зашифрован. Пиши. [ Почта [URL=mailto:mylifeisfear@cock.li]mylifeisfear@cock.li[/URL] ] .WANNACASH NCOV v170720". Файла с текстом вымогательства нет.[/QUOTE]
добавьте образ автозапуска, несколько зашифрованных файлов в архиве, и записку о выкупе
WannaCash
[QUOTE]Роман Солодухин написал:
Ребята помогите пожалуйста.Подхватил вирус который зашифровал на компьютере все фотографии мне они дороги как память образ
[URL=https://transfiles.ru/6iahf]https://transfiles.ru/6iahf[/URL] [/QUOTE]
при наличие лицензии на антивирус от компании ESET обращайтесь в техподдержку: support@esetnod32.ru

надо будет сделать логи в программах:
esetlogcollector:
https://www.eset.com/int/support/log-collector/
и
ESETSysVulnCheck.exe
ftp://ftp.nod.sk/samples/svchecker/ESETSysVulnCheck.exe
+
добавить в архив несколько зашифрованных файлов,
+
если есть возможность добавить пары чистые файлы-зашифрованные файлы,
желательно чтобы это были офисные документы: docx, xlsx
+
записку о выкупе,
+
если сохранилось - тело шифратора в архиве с паролем infected