[QUOTE]Olga Nazarova написал:
Добрый вечер.
Информация добавленная к названию файлов
[CS 1.7.0.1][ [URL=mailto:[email protected]_sel1][email protected]_sel1[/URL] ]
все расширения состоят и случайного набора трех букв
ОС linux, поэтому логи скорее всего не сможем предоставить.
Просим помочь с расшифровкой, в том числе платно.[/QUOTE]
добавьте пару зашифрованный - оригинальный файл (можно поместить в архив) к вашему сообщению
если сохранился файл шифратора, вышлите в почту [email protected] в архиве с паролем infected

кукую версию ESET NOD32 используете? корпоративный продукт или домашняя версия? есть ли централизованное управление продуктами ESET? ERA или ESET Security Management Center?
Какую версию thunderbird используете? IMAP/POP3?

Светлана, добавьте образ автозапуска системы

добавьте образ автозапуска системы

эти файлы можно удалить:

[QUOTE]2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Tasks\ReadMe_Decryptor.txt
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\SysWOW64\ReadMe_Decryptor.txt
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\ReadMe_Decryptor.txt
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Minidump\ReadMe_Decryptor.txt
2020-04-17 04:22 - 2020-04-17 06:04 - 000003336 _____ C:\Users\Актив\AppData\Roaming\Decryptor_Info.hta
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Актив2\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\USR1CV8\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\TLA\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\Desktop\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Public\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default User\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\axa\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\Downloads\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Downloads\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Documents\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Desktop\ReadMe_Decryptor.txt
2020-04-17 04:17 - 2020-04-17 04:17 - 000000676 _____ C:\Users\Admin\AppData\Local\ReadMe_Decryptor.txt[/QUOTE]

пароль на учетную запись администратора, скорее всего взломан
Admin (S-1-5-21-106301158-734874134-3783394130-1000 - Administrator - Enabled) => C:\Users\Admin
необходимо сменить все пароли, установив сложные пароли из чисел, символов и букв.

по расшифровке, если есть лицензия на продукты ESET сделайте запрос на расшифровку в [email protected]

пока что восстановление возможно только из бэкапов.

детект rhino на IDRansomware
https://id-ransomware.malwarehunterteam.com/identify.php?case=e120eab6577b483cec23ba18c5b0957a18359439

Этот вымогатель еще пока изучается.

[QUOTE]Опознан как

   ransomnote_email: [email protected]
   sample_extension: .rhino
[/QUOTE]
так же можно следить за этой темой
https://www.bleepingcomputer.com/forums/t/716961/

судя по маркеру внутри зашифрованного файла
Marvel
и электронной почте [[email protected]] + расширению .rhino
этот шифратор называется Rhino
свежий, апрелевский
https://id-ransomware.blogspot.com/2020/04/rhino-ransomware.html
ждем записку о выкупе и логи FRST

[QUOTE]Петр Петрович написал:
попался какой-то новый шифровальщик, зажал все документы. посмотрите, пожалуйста. приложил образ автозапуска и типовой заражённый файл.[/QUOTE]
это не Crysis, другой, неведомый(пока) шифратор.
Если есть записка о выкупе (info.hta), добавьте записку, + сделайте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

как был получен доступ к вашему компьютеру?
Kostya (S-1-5-21-634283673-3470961786-1386641149-1000 - Administrator - Enabled) => C:\Users\Kostya
сменит пароль администратора, возможно был взломан пароль от данной учетной записи.

так же примите меры безопасности по защите вашего ПК

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

по очистке в FRST выполните:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]HKU\S-1-5-21-1337099864-1586314783-2463288544-1109\...\MountPoints2: {c5ed6c88-dca7-11e8-81e5-9c5c8ecd9193} - F:\startme.exe
HKU\S-1-5-18\...\Run: [] => [X]
Startup: C:\Users\Kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MEGAsync.lnk.id-960F735F.[[email protected]].DOP [2020-04-11]
Startup: C:\Users\Kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mozilla Thunderbird.lnk.id-960F735F.[[email protected]].DOP [2020-04-11]
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ C:\Windows\system32\Info.hta
2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ C:\Users\kostya.GOU\AppData\Roaming\Info.hta
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\kostya.GOU\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ () C:\Users\kostya.GOU\AppData\Roaming\Info.hta
[/CODE]
----------------------
если сохранились файлы шифратора в карантине антивируса, добавьте файлы в архив с паролем infected и вышлите в почту [email protected]
(или загрузите на этот сайт для анализа, разрешите доступ к файлу и дайте ссылку на результат анализа)
https://www.hybrid-analysis.com/

по расшифровке файлов к сожалению помочь не сможем. нет расшифровки для последних версий Crysis (уже в течение нескольких лет).

восстановить документы возможно только из чистых архивных копий.