[QUOTE]Владислав Мазеин написал:
что насчет дешифровки файлов? там тысячи фотографий накопленных годами. очень не хотелось бы их терять. спасибо![/QUOTE]
ответил в личные сообщения.

делаем бэкапы важных документов на отдельный носитель,
это всегда поможет вам восстановить их в случае шифрования или повреждения диска.

Владислав,
по очистке в uVS выполните следующий скрипт, без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIKFLKCANBLCCFAHDHDONEHDALIBJNIF%26INSTALLSOURCE%3D­ONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR\REI_AXCONTROL.DLL
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------

[QUOTE]Владислав Мазеин написал:
Здравствуйте! Вирус wannacash зашифровал все фото на компьютере. Помогите пожалуйста, не знаю что дальше делать. Спасибо!Файл зашифрован. Пиши. Почта  [email protected]  [9140].WANNACASH NCOV v310320[/QUOTE]
добавьте образ автозапуска системы

при наличие лицензии на продукт ESET напишите в техническую поддержку [email protected]

[QUOTE]Иван Саныч написал:
Файл зашифрован. Пиши. Почта  [URL=mailto:[email protected]][email protected][/URL] [6066].WANNACASH NCOV v310320[/QUOTE]
добавьте образ автозапуска системы
+
добавьте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

[QUOTE]Сергей Родин написал:
Здравствуйте. Помогите!!! Вирус шифрует файлы. Файлы все становятся с таким заголовком "Файл зашифрован. Пиши. Почта  [URL=mailto:[email protected]][email protected][/URL] [2936].WANNACASH NCOV v310320" Как победить и как вернуть файлы. [/QUOTE]
шифрование продолжается?
судя по образу, активного шифрования уже нет.
это новый вариант wannacash
[QUOTE]New variant WannaCash Ransomware from March, 31 changes filename as Файл зашифрован. Пиши. Почта [email protected] [number].WANNACASH NCOV v310320[/QUOTE]
https://twitter.com/thyrex2002/status/1245376533126098950
если у вас установлен лицензионный продукт ESET, напишите в техническую поддержку
[email protected]

Евгений,
сделайте образ автозапуска системы,
возможно, что файлы шифратора еще активны в системе.
+
добавьте во вложение несколько зашифрованных файлов и записку о выкупе (info.hta, FILES ENCRYPTED.txt),
лучше все упаковать в архив.
прежде чем приступить к восстановлению документов и приложений, необходимо будет проверить и очистить систему от файлов шифратора.

GROUP-IB:

[QUOTE] Шифровальщик из аптеки
🔻Дата рассылки: 27 марта
🔻Тема письма: Как не заболеть коронавирусом
🔻 Отправитель: "Аптека.ру"
🔻 Получатели: Нефтегаз, ТЭК
🔻Степень опасности: Malware
🔻Функционал: Шифровальщик
🔻Семейство: Обновленная версия шифровальщика Aurora
CERT-GIB зафиксировал 27 марта две рассылки вируса-шифровальщика по российским нефтегазовым компаниям —  в списке получателей оказались более 70 адресов. Письма, отправленные якобы от компании “Аптека.ру”, содержали презентацию  “лучших средств профилактики по доступной цене” под заголовком “Дарим “вакцину” от коронавируса!”. Кроме того, отправитель письма предлагал продажу противоинфекционных масок в любых количествах. В письме находилась ссылка на веб-ресурс, с которого происходила загрузка ZIP-архива с вредоносным файлом внутри — обновленной версией шифровальщика Aurora. Домен вредоносного ресурса был зарегистрирован 25 февраля 2020 года.[/QUOTE]

Первая информация о шифраторе Cryakl опубликована на [URL=https://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/]securelist.ru[/URL] в октябре 2014 года.

  [QUOTE] В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

   - информацию о размере и расположении зашифрованных блоков,
   - MD5-хэши от оригинального файла и его заголовка,
   - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
   - ID жертвы,
   - оригинальное имя зашифрованного файла,
   - метку заражения {CRYPTENDBLACKDC}.[/QUOTE]


скорее всего, Cryakl известен с начала 2014 года

ранние версии:
[B]ver-4.0.0.0[/B]
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}[email protected]

[B][B]известные почты:[/B][/B]

  [SIZE=8pt] [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][/SIZE]


[B]примеры автозапуска в системе:[/B]

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

[B]ver-6.1.0.0[/B]
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 11@22@168550646}[email protected]

[B]известные почты:[/B]
[SIZE=8pt]
   [email protected]
   [email protected]
   [email protected]
   [email protected][/SIZE]

возможно, их гораздо больше
[B]примеры автозапуска в системе:[/B]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

[B]ver-8.0.0.0[/B]
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 12@49@155029625}[email protected]

[B]известные почты:[/B]

[SIZE=8pt][email protected]
   [email protected][/SIZE]

[B]примеры автозапуска в системе:[/B]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

[B]ver-CL 0.0.1.0[/B]

[B]пример зашифрованного файла:[/B]
[email protected] 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 23@[email protected]

[B]известные почты:[/B]

  [SIZE=8pt][email protected]
   [email protected]
   [email protected]
   [email protected][/size]

[B]примеры автозапуска в системе:[/B]

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

[B]ver-CL 1.0.0.0[/B]

[B]пример зашифрованного файла:[/B]
[email protected] 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@[email protected]
видим, что закодированное имя перемещено в конец заголовка.

[B]известные почты:[/B]

   [SIZE=8pt][email protected]
   [email protected]
   [email protected]
   [email protected]
    [email protected]
    [email protected]
    email- [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected][/size]

[B]примеры автозапуска в системе:[/B]

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

[B]ver-CL 1.0.0.0u[/B]

пример зашифрованного файла:
[IMG WIDTH=685 HEIGHT=63]https://chklst.ru/uploads/editor/bj/rfaa3s2ssup6.jpg[/IMG]

[B]известные почты:[/B]

   [SIZE=8pt][email protected]
   [email protected]_graf1
   [email protected]_mod
   [email protected]_mod2[/size]


[B]ver-CL 1.1.0.0[/B]

пример зашифрованного файла:
[email protected] 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 14@[email protected]
[B]известные почты:[/B]

   [SIZE=8pt][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][/size]

[B]примеры автозапуска в системе:[/B]

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

[b]ver-CL 1.2.0.0[/b]

[b]пример зашифрованного файла:[/b]
[email protected] 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 17@[email protected]

[b]известные почты:[/b]

   [size=8pt][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   ! [email protected]
   [email protected]
   [email protected]
   email-age_empires@ aol.com[/size]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

[b]ver-CL 1.3.0.0[/b]
пример зашифрованного файла:
[email protected] 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 20@[email protected]
известные почты:

   [SIZE=8pt][email protected]
   [email protected][/size]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

[b]ver-CL 1.3.1.0[/b]

пример зашифрованного файла:
[IMG WIDTH=684 HEIGHT=82]https://chklst.ru/uploads/editor/i7/k6b5cju7r7id.jpg[/IMG]
известные почты:

   [size=8pt][email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][/size]
   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

[b]fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)[/b]

пример зашифрованного файла:

   [email protected] 1.4.0.0.id-3908370012-23.03.2018 10@[email protected]Правила поведения вахтеров.jpg.fairytail

известные почты:

    [SIZE=8pt][email protected]
   [email protected][/size]

примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

[b]doubleoffset (CL 1.5.1.0)[/b]

пример зашифрованного файла:
[email protected] 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

[size=8pt][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][/size]

примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

[b]CS 1.6.0.0[/b]

пример зашифрованного файла:

известные почты:

   [size=8pt][email protected]
   [email protected]
   [email protected][/size]

[b]CS 1.7.0.1[/b]
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][[email protected]].git
известные почты:

   [size=8pt][email protected][/size]

[b]CS 1.8.0.0[/b]
пример зашифрованного файла:
branding.xml[[email protected]][2094653670-1579267651].whv
известные почты:

[size=8pt] [email protected]
   [email protected]
   [email protected][/size]

[B]CryLock 1.9.0.0[/B]

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[[email protected]][special].[10ABB6A7-867BCEF7]

известные почты:
[size=8pt]
[email protected]
   [email protected]
   [email protected][/size]

попробуйте сделать образ автозапуска из безопасного режима системы.
если не получится,
сделайте из под winpe&uVS
https://forum.esetnod32.ru/forum27/topic2102/

как вариант, в таких случаях можно попытаться восстановить работу системы из под загрузочного диска.