Сергей Сафонов,
судя по образу файлов шифратора нет в автозапуске.
возможно и зашифровать документы не успел сделать.
вышлите файл из временной папки в архиве с паролем infected в почты [email protected]

Добрый день, попался данный шифровальщик. Не успел все зашифровать,но пошел гулять по расшареным  папкам. В парке 30+ машин, открыли данный шифровальщик на двух из них. Имеет смысл проверять все остальные машины?

отправил на почту [email protected]

Дмитрий Н,
добавьте образ автозапуска с машины, с которой червь начал свое "триумфальное" путешествие по вашей локальной сети.

Сергей, когда шифрование было?

17,01,2017 началось примерно в 11-15

понятно,
да это файлик от Spora
https://www.virustotal.com/ru/file/9c0d7e7ed25844202a2edc1416a0dd9cc84fe3797a483f6b­0a3742b252d9ba56/analysis/

да, здесь в Темпе есть файлик, детектируемый как Spora


Полное имя                  C:\USERS\GORDEEVS\APPDATA\LOCAL\TEMPSP.EXE
Имя файла                   TEMPSP.EXE
Тек. статус                 ?ВИРУС? [Запускался неявно или вручную]
                           
www.virustotal.com          2017-01-20
Symantec                    ML.Attribute.VeryHighConfidence [Heur.AdvML.B]
ESET-NOD32                  a variant of Win32/Injector.DKCH
Avast                       Win32:Malware-gen
Kaspersky                   Trojan-Ransom.Win32.Spora.h
DrWeb                       BackDoor.Siggen.60255
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     5877B8421D000
Linker                      6.0
Размер                      118784 байт
Создан                      20.01.2017 в 08:18:34
Изменен                     20.01.2017 в 08:18:34
                           
TimeStamp                   12.01.2017 в 17:09:22
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        5AC3D2E71BD53E7AD70577C01F1CB4B9DFA2ABD8
MD5                         EE0D34559792DAA102296A49B7BE1E36
                           
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                           
--------------
обновите базы на всех антивирусных клиентах, и запустите полную проверку дисков,
если этот файл детектируется, то и производные от него так же должны детектироваться.

может мне ещё чего на компе поискать что поможет?