@an_mvv mvv
добавьте образ автозапуска зашифрованной системы
(продолжите лечение на одном форуме
https://virusinfo.info/showthread.php?t=223089
тем более, что thyrex вам поможет с расшифровкой вашего варианта, если она возможна в вашем случае)

Мирослав Герко,
выгрузите из процессов вредоносные файлы
сделайте и добавьте в ваше сообщение образ автозапуска системы

@Виталий Климанов,
судя по образу автозапуска система уже очищена от файлов шифратора.

по расшифровке документов:
проверьте личные сообщения.

[QUOTE]Bahrom Raupov написал:
образ автозапуска  https://my-files.ru/46ec96 [/QUOTE]
судя по образу система уже очищена от файлов шифратора.
расшифровки данных по данному варианту Crysis, к сожалению, нет, восстановление документов возможно только из архивных копий.

[QUOTE]Станислав Долгушин написал:
Здравствуйте! Буквально вчера ночью на сервер каким-то образом попал троян. Файлы зашифровались расширением [ [email protected] ].harma . Перепробовал уже все подряд, есть решение?[/QUOTE]
добавьте образ автозапуска с зашифрованного сервера

[SIZE=14pt][B]Bitdefender выпустил дешифровку для текущей версии GandCrab 5.2[/B][/SIZE]

[QUOTE]мы выпустили обновление для инструмента, который нейтрализует последние версии GandCrab, включая версию 5.2. Инструмент доступен сразу и может быть загружен бесплатно ниже или из проекта No More Ransom.[/QUOTE]

https://labs.bitdefender.com/2019/06/good-riddance-gandcrab-were-still-fixing-the-mess-you-left-behind

[QUOTE]Decryptor Started at Mon Jun 17 18:29:08 2019

Looking for ransom note ... [G:/DATA/shifr/encode_files/GandCrab/5.2/10\GSTDMCUTBY-DECRYPT.txt]
Looking for EXT ... [.gstdmcutby]
Looking for decryption KEY ... [OK]

Decrypt Files ...

Decrypt [ 0] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\changesreply.png.gstdmcutby] ... [OK]
Decrypt [ 1] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\classespartner.jpg.gstdmcutby] ... [OK]
Decrypt [ 2] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\filezilla.xml.gstdmcutby] ... [OK]
Decrypt [ 3] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\layout.xml.gstdmcutby] ... [OK]
Decrypt [ 4] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\NoMail.xml.gstdmcutby] ... [OK]
Decrypt [ 5] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\Outlook.xml.gstdmcutby] ... [OK]
Decrypt [ 6] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\sonar_policy.xml.gstdmcutby] ... [OK]
Decrypt [ 7] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\test.xml.gstdmcutby] ... [OK]

Total decrypted files: [8]

Scan finished![/QUOTE]

добрый день!

имеет смысл проверить свойства зашифрованного файла на сетевом диске, чтобы определить под какой учетной записью было шифрование,
т.о. вы с большей вероятностью сможете определить какой из компьютеров был атакован.

то, что нет еще нигде записки о выкупе может означать, что либо шифрование локально еще не завершено, либо компутер, который был атакован был выключен.
добавлю, что Crysis прописывает свое тело в автозапуск, и после перезагрузки шифрование может возобновиться.
так же возможен случай, когда антивирус удаляет через время файл шифратора, поэтому можно проверить логи антивирусов.
Если у вас установлен сервер ERA или подобная консоль, например от Касперского, тогда надо смотреть логи  угроз через консоль управления.

можно так же выложить в архиве один из зашифрованных файлов. Пара не нужна - это не сработает для Crysis
надо ждать, когда злоумышленники выложат приватные ключи, тогда расшифровка станет возможной.

Дмитрий,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER­ DATA\DEFAULT\EXTENSIONS\FHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH\2.0.1.16_1\ПОИСК  ЯНДЕКСA
delref HTTPS://WWW.CMEGROUP.COM/TRADING/ENERGY/CRUDE-OIL/LIGHT-SWEET-CRUDE.HTML
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_8717DA422C5BDE7C\INTELCPHECISVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ZEMANA ANTIMALWARE\ZAM.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0C83C06D-41F5-4666-B1C2-0923EA75EB10}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_8717DA422C5BDE7C\IGFXEXPS32.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT DC\ACROBATINFO.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref E:\HISUITEDOWNLOADER.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке файлов проверьте личные сообщения:
проверьте личные сообщения.

Вячеслав,
по расшифровке ваших файлов проверьте личные сообщения.

судя по логам, этот файл шифратор 1swlynru.exe
и он есть в автозапуске:
O4 - Startup other users: C:\Users\User3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1swlynru.exe    ->    (PE EXE)
перед тем как создать образ автозапуска, проверьте, нет ли его в процессах.
если есть, то данный процесс необходимо завершить, и затем приступить к созданию образ автозапуска.