[QUOTE]RP55 RP55 написал:
[QUOTE] santy написал:
это не блокировка запуска FF как приложения, но блокировка FF  по выходу в сеть.[/QUOTE]
А цель...  Не дать скачать антивирус, обратиться за помощью ?
И как эта блокировка была  выполнена ?
И как бы это видеть\устранять в uVS...[/QUOTE]
сложно судить о цели в контексте 3-4 строчек лога
правила можно автоматически добавить скриптами через wmic или netsh
правила брэндмауэра -  нет такой секции в uVS.
а если юзер использует продукт класса Internet Security то и незачем.

это другое,
это не блокировка запуска FF как приложения, но блокировка FF  по выходу в сеть.
т.е. юзер должен открыть брэндмауэр, и посмотреть что там за правила добавлены, которые мешают выходу в сеть FF

[QUOTE]RP55 RP55 написал:
В продолжение темы по блокировке антивирусов:  [/QUOTE]
кстати, еще один известный способ блокировки запуска приложений. (в том числе и антивирусных)

[QUOTE]HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe[/QUOTE]
https://virusinfo.info/showthread.php?t=224678
+
еще один:
[QUOTE]O7 - Policy: [Untrusted Certificate] HKLM - 0A0CF21F2AD2796FCC1309F2993659FC9F4BBFB9 - Curio Systems GmbH
O7 - Policy: [Untrusted Certificate] HKLM - 1518752920E9221E1FE1728AACAC536728B37BA7 - Trend Micro, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 1B581436B0ED7536755B8B1C81112509A5AAF6ED - Panda Security S.L.
O7 - Policy: [Untrusted Certificate] HKLM - 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF - G DATA Software AG
O7 - Policy: [Untrusted Certificate] HKLM - 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF - Symantec Corporation
O7 - Policy: [Untrusted Certificate] HKLM - 328E73F58737F1AB8DB0DA98FECFA17EB7BFAA40 - Bitdefender SRL
O7 - Policy: [Untrusted Certificate] HKLM - 3C92C9274AB6D3DD520B13029A2490C4A1D98BC0 - Kaspersky Lab
O7 - Policy: [Untrusted Certificate] HKLM - 4E393AA1586C93E0BC9E7FEBCF7BFB62066DC22A - Doctor Web Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - 4E564B9FBCE8F496FFF51278CCD14EE17F09A1CE - Lavasoft Software Canada
O7 - Policy: [Untrusted Certificate] HKLM - 58939B78BC28EF464220127BB754E3D130306988 - AVG Technologies USA, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 5AACB6A43D9D806E6963937BE702B7A43C1978AE - F-Secure Corporation
O7 - Policy: [Untrusted Certificate] HKLM - 5DE56B2BAAA995F447949B869356528F91230A49 - VIPRE Security (ThreatTrack Security, Inc.)
O7 - Policy: [Untrusted Certificate] HKLM - 7450C07722C75E711EF24209A22F0C5C6A5BEC4E - Trend Micro, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 775B373B33B9D15B58BC02B184704332B97C3CAF - McAfee, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 78C55D604474B534EB2B565CAD312FC7D71FE9DE - Webroot Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 816BE9397F66D1A26EFA04035BCA3BB9E3779740 - Malwarebytes Inc
O7 - Policy: [Untrusted Certificate] HKLM - 8887AF2636E0D3B763AC4D56729218AF89653CA4 - Avira Operations GmbH & Co. KG
O7 - Policy: [Untrusted Certificate] HKLM - 88AD5DFE24126872B33175D1778687B642323ACF - McAfee, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 8B6DD299C6E4092040E98EB773F3818DF50B038D - Bitdefender SRL
O7 - Policy: [Untrusted Certificate] HKLM - 8DC9FE53D5F1D7D558EBE131E922730780D88865 - ESET, spol. s r.o.
O7 - Policy: [Untrusted Certificate] HKLM - 9A32249E9A6B9CF5C36B0749C81613524D37C594 - Safer-Networking Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - A5341949ABE1407DD7BF7DFE75460D9608FBC309 - BullGuard Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - AA8399A239AE1785200917D32C21F6B662477BE4 - K7 Computing Pvt Ltd
O7 - Policy: [Untrusted Certificate] HKLM - AEEA60E86C66327BFBB8492C33122687AB2B5D91 - Support.com, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - B7E607E1FB8943C634580F621788C01C962E8280 - K7 Computing Pvt Ltd
O7 - Policy: [Untrusted Certificate] HKLM - BDEEFEC5F002E281B2292A8C72EACA468CBF9952 - Emsisoft Ltd
O7 - Policy: [Untrusted Certificate] HKLM - BE894F99B870DA5FCA623F7F4A85D3970A46CDE1 - Symantec Corporation
O7 - Policy: [Untrusted Certificate] HKLM - BF9254919794C1075EA027889C5D304F1121C653 - Kaspersky Lab
O7 - Policy: [Untrusted Certificate] HKLM - D70D7D00CA12E1B3E20F3BF7534DEB2C2E7C2404 - Comodo Security Solutions
O7 - Policy: [Untrusted Certificate] HKLM - DBFAD9D59A6A07DCEB004DBE2DC246B547249E86 - Malwarebytes Inc
O7 - Policy: [Untrusted Certificate] HKLM - E27AA5FFDCA62A60E435292A243D0C6D43DCC513 - Doctor Web Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - E4A0C1054F8025DD88EE5053094A9A61661AE123 - Webroot Inc.
O7 - Policy: [Untrusted Certificate] HKLM - F75019695C0504E3ABEFEDCD8FBE500DA08EC8FA - AVAST Software s.r.o.
O7 - Policy: [Untrusted Certificate] HKLM - F83099622B4A9F72CB5081F742164AD1B8D048C9 - ESET, spol. s r.o.[/QUOTE]

https://virusinfo.info/showthread.php?t=224672

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
ZOO %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\USERS\BUH11\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\USERS\BUH5\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\USERS\BUH3\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[[email protected]].ONION
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[[email protected]].ONION
del %SystemDrive%\USERS\BUH11\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[[email protected]].ONION
del %SystemDrive%\USERS\BUH7\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[[email protected]].ONION
del %SystemDrive%\USERS\BUH5\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[[email protected]].ONION
del %SystemDrive%\USERS\BUH3\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[[email protected]].ONION
delall %SystemDrive%\USERS\BUH5\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\BUH3\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\BUH11\APPDATA\ROAMING\INFO.HTA
apply
CZOO
QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправьте в почту [email protected]

------------
+
добавьте логи проверки в FRST,
может быть через FRST еще можно найти какие то хвосты от шифатора.
+
проверьте карантины антивирусов, или сканеров, возможно там что-то есть.
вы наверняка уже отсканировали систему с помощью DrWeb или kvrt
+
обратите внимание на рекомендации, которые добавлены в ваше сообщение,
атака может повториться через некоторое время. в том числе и другим шифратором

Александр,
это скорее всего Crysis,с расширением .ONION
давно было шифрование?
если свежее, добавьте образ автозапуска чтобы проверить не остались ли активные файлы шифратора.
по расшифровке отвечу чуть позже. необходимо выполнить проверку ваших файлов.
---------
судя по характерному маркеру в зашифрованном файле
00000000020000000CFE7A41000000000000000000000000200000000000­0000
это Crysis/Dharma с расширением .ONION
скорее всего это свежее шифрование с другим мастер-ключом, а значит и без возможности расшифровки в текущее время,
потому что прежнее шифрование Crysis/Dharma/onion было 2-3 года назад.
(по старой версии .onion есть расшифровка, но в вашем случае расшифровка происходит с ошибкой.

[QUOTE][2020.03.16 18:45:52.394] - Begin
[2020.03.16 18:45:52.395] -
[2020.03.16 18:45:52.396] - ....................................
[2020.03.16 18:45:52.397] - ..::::::::::::::::::....................
[2020.03.16 18:45:52.399] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
[2020.03.16 18:45:52.401] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.4.0
[2020.03.16 18:45:52.402] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: May 19 2017
[2020.03.16 18:45:52.404] - .::EE:::::::::::::SS:.EE..........TT......
[2020.03.16 18:45:52.405] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2020.03.16 18:45:52.406] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.
[2020.03.16 18:45:52.406] - ....................................
[2020.03.16 18:45:52.407] -
[2020.03.16 18:45:52.407] - --------------------------------------------------------------------------------
[2020.03.16 18:45:52.407] -
[2020.03.16 18:45:52.408] - INFO: OS: 6.1.7601 SP1
[2020.03.16 18:45:52.408] - INFO: Product Type: Workstation
[2020.03.16 18:45:52.409] - INFO: WoW64: True
[2020.03.16 18:45:52.409] - INFO: Machine guid: 22011111-391F-421D-B12F-55ABB662839B

[2020.03.16 18:45:52.410] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, [B].onion[/B], .wallet

[2020.03.16 18:45:52.455] - INFO: Cleaning file [10\СМЕТА ПО ОТКРЫТОЙ СТОЯНКЕ НА 2020 ГОД.pdf.id-E0BC160B.[[email protected]].ONION]
[B][2020.03.16 18:45:52.456] - INFO: Can't get key for file.[/B]
[2020.03.16 18:45:52.457] - ERROR: Not cleaned.
[2020.03.16 18:45:52.458] - --------------------------------------------------------------------------------
[2020.03.16 18:45:52.459] - INFO: 6 infected files found.
[2020.03.16 18:45:52.460] - INFO: 0 file(s) cleaned.
[2020.03.16 18:46:09.523] - End[/QUOTE]
-----------жду от Вас образ автозапуска системы, здесь в теме
и возможно если сохранились файлы шифратора можно отправить в архиве с паролем infected в почту
[email protected]
или загрузить для анализа на https://www.hybrid-analysis.com/
и дать в вашем сообщении линк проверки

[QUOTE]RP55 RP55 написал:
[QUOTE] santy написал:
скрипт FRST получился на несколько листов, в то время как uVS это бы зачистил одной командой.[/QUOTE]
А для того кто пишет скрипт нет разницы.
В тестовом редакторе это 10 секунд.[/QUOTE]
да, но некоторым операторам всегда это хочется делать в один клик и в одну строку

[QUOTE]RP55 RP55 написал:
В продолжение темы по блокировке антивирусов:  https://forum.kasperskyclub.ru/index.php?s=5aea1018212e953d2711d79ac045f141&showtopic=64879 [/QUOTE]
этот метод блокирования через ключ Debugger известен и давно используется троянами,
позабавило здесь другое.
что скрипт FRST получился на несколько листов, в то время как uVS это бы зачистил одной командой.

Компании с использованием вымогателей под управлением операторов являются значительной и растущей угрозой для бизнеса и представляют собой одну из наиболее эффективных тенденций в современных кибератаках. В этих рукопашных атаках, которые отличаются от автоматического распространения вымогателей (WannaCry или NotPetya), злоумышленники используют методы кражи учетных данных и горизонтального перемещения. [B]Они обладают обширными знаниями в области системного администрирования и общих неправильных настроек безопасности сети, проводят тщательную разведку и адаптируются к тому, что обнаруживают в скомпрометированной сети.[/B]

Подобные атаки часто начинаются с «товарного вредоносного ПО», такого как банковские трояны, или «несложных» векторов атак, которые обычно вызывают множественные оповещения об обнаружении; тем не менее, они считаются несущественными и поэтому не подвергаются тщательному исследованию и устранению. Кроме того, начальные полезные нагрузки часто останавливаются антивирусными решениями, но злоумышленники развертывают другую полезную нагрузку или используют административный доступ для отключения антивируса, чтобы не привлекать внимание к службам реагирования на инциденты или операционным центрам безопасности (SOC).

Одним из действующих лиц, появившихся в этой тенденции атак, управляемых оператором, является активная, высоко адаптивная группа (PARINACOTA), которая часто использует Dharma в качестве полезной нагрузки.

[B]Атаки PARINACOTA, как правило, с помощью грубой силы проникают на серверы, на которых открыт из внешней сети протокол удаленного рабочего стола (RDP), с целью дальнейшего горизонтального перемещения внутри сети или выполнения brute forces против целей за пределами сети. Это позволяет группе расширять скомпрометированную инфраструктуру под их контролем.[/B] Часто, группа нацеливается на встроенные локальные учетные записи администраторов или список общих имен учетных записей. В других случаях группа нацелена на учетные записи Active Directory (AD), которые они скомпрометировали или имеют предварительные знания, таких как учетные записи служб известных поставщиков.

Группа использует метод brute forces RDP, который ранее применяли печально известный Samas (SamSam). Другие семейства вредоносных программ, такие как GandCrab, MegaCortext, LockerGoga, Hermes и RobbinHood, также использовали этот метод в целевых атаках.

[IMG WIDTH=1120 HEIGHT=978]https://chklst.ru/uploads/editor/wi/2k11kiwly0ic.png[/IMG]

Чтобы найти цели, группа сканирует Интернет на наличие машин, которые прослушивают порт RDP 3389. Злоумышленники могут это делать с зараженных компьютеров, используя такие инструменты, как Masscan.exe, которые обнаруживают уязвимые машины во всем Интернете менее чем за шесть минут.

Как только уязвимая цель найдена, группа начинает атаку грубой силой с использованием таких инструментов, как NLbrute.exe или ForcerX, начиная с общих имен пользователей, таких как «admin», «administrator», «guest» или «test». После успешного получения доступа к сети группа проверяет скомпрометированный компьютер на предмет подключения к Интернету и вычислительной мощности. Они определяют, соответствует ли машина определенным требованиям, прежде чем использовать ее для проведения последующих атак RDP методом перебора против других целей. Эта тактика, которая не использовалась аналогичными операторами вымогателей, дает им доступ к дополнительной инфраструктуре, которая с меньшей вероятностью будет заблокирована. Фактически, группа наблюдала за тем, чтобы их инструменты работали на скомпрометированных машинах месяцами подряд.

После отключения решений по безопасности группа часто загружает ZIP-архив, содержащий десятки известных инструментов атакующего и пакетные файлы для кражи учетных данных, устойчивости, разведки и других действий, не опасаясь предотвращения следующих этапов атаки. С помощью этих инструментов и пакетных файлов группа очищает журналы событий с помощью wevutil.exe, а также проводит обширную разведку на компьютере и в сети, обычно ища возможности для бокового перемещения с использованием обычных инструментов сетевого сканирования. При необходимости группа повышает привилегии от локального администратора до SYSTEM, используя функции специальных возможностей в сочетании с командным файлом или загруженными файлами, названными в честь определенных CVE, на которые они влияют, также известных как атака «Sticky Keys».

Группа сбрасывает учетные данные из процесса LSASS, используя такие инструменты, как Mimikatz и ProcDump, чтобы получить доступ к соответствующим паролям локальных администраторов или учетным записям служб с высокими привилегиями, которые можно использовать для запуска в качестве запланированной задачи или службы или даже для интерактивного использования. Затем PARINACOTA использует тот же сеанс удаленного рабочего стола для эксфильтрации полученных учетных данных. Группа также пытается получить учетные данные для определенных банковских или финансовых веб-сайтов, используя findstr.exe для проверки файлов cookie, связанных с этими сайтами.

PARINACOTA устанавливает постоянные учетные данные, используя различные методы, в том числе:

Изменения реестра с использованием файлов .bat или .reg для разрешения соединений RDP

Настройка доступа через существующие приложения удаленной помощи или установка бэкдора.

Создание новых локальных учетных записей и добавление их в группу локальных администраторов.

Чтобы определить тип полезной нагрузки для развертывания, PARINACOTA использует такие инструменты, как Process Hacker, для идентификации активных процессов. Злоумышленники не всегда сразу устанавливают вымогателей; было замечено, что они устанавливают майнеры и используют massmail.exe для запуска спам-кампаний, в основном используя корпоративные сети в качестве распределенной вычислительной инфраструктуры для получения прибыли. Тем не менее, группа через несколько недель возвращается на те же машины, чтобы установить вымогателей.

Группа выполняет те же самые общие действия для доставки полезной нагрузки вымогателей:

        Размещает вредоносный файл HTA (во многих случаях hta) с использованием различных точек расширяемости автозапуска (ASEPs), но часто с ключами запуска реестра или папкой автозагрузки.
        Удаляет локальные резервные копии, чтобы предотвратить восстановление выкупленных файлов.
        Останавливает активные службы, которые могут мешать шифрованию.

[IMG WIDTH=379 HEIGHT=653]https://chklst.ru/uploads/editor/p8/u3j300x8e828.png[/IMG]

PARINACOTA регулярно использует криптомайнеры Monero на взломанных машинах, что позволяет им получать равномерную прибыль независимо от типа машины, к которой они обращаются.

https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/

Юрий,
добавьте образ автозапуска из зашифрованной системы,
возможно файлы шифратора еще активны в данной системе,
+
добавьте несколько зашифрованных файлов в архиве,
судя по заголовку зашифрованного файла у вас здесь двойное шифрование *.odveta + *.harma
+
судя по этой теме
https://forum.kasperskyclub.ru/index.php?showtopic=64879
помощь в очистке системы вам уже оказана хелперами на форуме kasperskyclub

по расшифровке помочь вам не сможем, нет расшифровки по odveta и harma

восстановить документы возможно лишь из надежных бэкапов.

попробуйте добавить Acronis в исключенные приложения в настройках "Интернет и электронная почта" --- фильтрация протоколов -- исключенные приложения.