[QUOTE]santy написал:
но контакты, там да, есть в файле readme.txt[/QUOTE]
Ото-ж! Хочу втереться в доверие и слить в отдел "К"

зы: запустил тварь в виртуалке - дождусь пока требования выставит, чтобы связь с разработчиками установить. Посмотрим что получится...

Ясно. В Eset уже постучался - молчат. Судя по веткам форума, радостых визгов от потерпевших не встретил, т.е. шанс близок нулю (по крайней мере пока). Попробую к коллегам (конкурентам :)) обратиться - может помогут небезвозмездно...
В любом случае - спасибо!!!

Выполнил. Проблема одна и старая - файлы зашифрованы. Копий наиболее важных файлов нет, так что выучка у сотрудников ещё не та... Что можно сделать для расшифровки?

Отправляю образ автозапуска. При этом во время сканирования были сообщения что файл c:\ProgramData\Windows\csrss.exe и ещё ряд файлов не найдены, т.к. я их предварительно переименовал с целью недопущения запуска.
Заставка ещё не выставилась, вовремя прервали гада :)))
Жду инструкций с нетерпением. Заранее спасибо!

Извините.
Проверка ещё идёт. Стоит ли её прервать и выполнить то, что в первом ответе рекомендуется?
И можно ли пролечить перед запуском операционки или лучше воздержаться?
В любом случае, я пока сменил расширение у тех кодеров что пока найдены, чтобы можно было вернуть их на место в случае, если это будет необходимо для раскодировки.

[QUOTE]santy написал:
Эдуард Сердюк,
добавьтее образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL] [/QUOTE]
Это ж на рабочей системе нужно делать? Её стартовать боюсь, хотя всё что не зашифровано скопировал. Счас антивирь отработает (лечить пока не буду?), стартону с пациента - сделаю...

Подробности со слов потерпевших:
Получили письмо с ПДФкой, тема серьёзная (что-то типа "Ваше обеспечение по контракту не принято" и т.д.), запустили её (из под Bat'а) и сразу письма исчезли и мы Вам позвонили. По факту обнаружено:
1. В папке почты бэтовской куча файлов с мусорными именами и расширением breaking_bad
2. Так как стоял EEA и документы на рабочем столе были в нормальном виде, открыл папку профайлов-->Рабочий стол выделил всё и запустил на архивацию. Однако на 5 минуте 7zip сообщил, что не находит фоток. Полез туда и обнаружил кучу зашифрованных файлов. Немедленно выдернул шнур питания, снял винт, подцепил к другой машине, сбросил выжившие документы. Сейчас проверяю разными антивирями, однако лечить боязно - вдруг ключ шифрования потеряется...
3. Несколько папок с документами также содержат зашифрованные файлы, т.о. важно их расшифровать + почта пустая.

Помогите с расшифровкой и определением злодея в системе. SOS - экономисты в ужасе, годовые отчёты, бюджеты и т.д.!!!
На всякий случай высылаю Вам несколько зашифрованных файлов (см. архив).
Заранее спасибо!