добавьте образ автозапуска из зашифрованной системы
+
по доступу к RDP: смените на сложные пароли пользователей, через которых произошел взлом,
настройте защиту от подбора паролей: блокирование ip после нескольких попыток неправильного ввода пароля.
ограничьте по возможности доступ из внешней сети, оставьте доступ только для проверенных ip

иначе взлом и шифрование могут повториться.

[QUOTE]RP55 RP55 написал:
[URL=http://www.tehnari.ru/f183/t262601/]http://www.tehnari.ru/f183/t262601/[/URL]

C:\USERS\1\APPDATA\ROAMING\TEMPO\
юмористы.
или почему правая нога не знает, что чешет левая.
NSCPUCN MINER 32.EXE[/QUOTE]
кстати у меня сразу все нашлось в каталоге "подозрительные и вирусы", без добавления новых сигнатур для DOC001.EXE

[B]по Crysis появились новые варианты в январе:[/B]

New variant of #CrySiS / #Dharma - ".gif" extension - email "[email protected]" - https://www.virustotal.com/#/file/9ecc9ae378a335453d58fe44c95a8f5b40595b8a2e11eedfe86521­e6f61fdbc1/detection …

#CrySiS / #Dharma #ransomware - ".AUF" extension - "[email protected]" - https://www.virustotal.com/#/file/5280edad1dcecca9b0542556a775961bc620c31a06f2fe6383792a­6f300ed81e/detection …

#CrySiS/#Dharma #ransomware again and again: extensions ".USA" and ".xwx", extortion email addresses "[email protected]" and "[email protected]". https://www.virustotal.com/#/file/35ade951e0713f31cbdc4844ea0e7c8ffff795efd6ab7e8d22fad5­d3cf87ac0c/detection … https://www.virustotal.com/#/file/60f5a7aa2216c5688d56a59a0fe4e87320dd22f4606e2ad06dae04­69c952b965/detection …
+
".best" - '[email protected]' - https://www.virustotal.com/#/file/73bf556b35606c9b9ea033d4e93f057e890698126b0cc8cb7b8560­4c3688434f/detection …
+
New Dharma / CrySiS Ransomware variant appends "[B].heets[/B]" to encrypted file extensions.
.heets  extension; mail [email protected]
https://www.virustotal.com/#/file/eb67ad08ce4989d0106cc59f5954367a22c182e6e73ad88b649bd8­ba3f3ac4f3/
https://id-ransomware.malwarehunterteam.com/identify.php?case=892b45aedd9929f8d5620491c7956e13c8de981b

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets[/QUOTE]

.USA вариант уже есть на российских форумах.

[QUOTE]Помогите в расшифровки файлов
Поймали сегодня ночью - все расшариные папки зашифровал
Расширение у файлов - id-1814CB43.[[email protected]].USA[/QUOTE]
https://forum.kasperskyclub.ru/index.php?showtopic=61706

[QUOTE]Сергей З написал:
С кем связаться, чтобы решить вопрос для ящика " [email protected] "  т.к. я понима что приватные ключи и всё необходимое для расшифровки есть?[/QUOTE]
вы можете выполнить расшифровку исходя из известной вам информации, проверить ваши логические выводы и получить новые знания. (о возможности или не возможности расшифровки в вашем случае)
на форуме мы можем вам помочь с очисткой системы.

[QUOTE]Сергей З написал:
Спасибо!А с расшифрованием, что делать?Я смотрю что этот вирус стар. Были успехи?[/QUOTE]
по расшифровке, при наличие лицензии на продукт ESET напишите в [email protected]

[QUOTE]Хиро Онода ( род. 19 марта 1922 года) — японский офицер, вошедший в историю благодаря тому, что воевал на Филиппинах спустя ещё 30 лет после того, как Вторая мировая война закончилась.[/QUOTE]
даже если версия шифратора стара, ничто не мешает ему продолжать шифрование незащищенных компьютеров.

добавьте образ автозапуска системы, поможем с очисткой системы.

возможно, этот вариант шифратора.
известен еще в феврале, но с другим расширением.
https://pastebin.com/ucXfQf9j

[QUOTE]Decrypting your files is easy. Take a deep breath and follow the steps below.
1 ) Make the proper payment.
Payments are made in Monero. This is a crypto-currency, like bitcoin.
You can buy Monero, and send it, from the same places you can any other
crypto-currency. If you're still unsure, google 'monero exchange'.

Sign up at one of these exchange sites and send the payment to the address below.

Payment Address (Monero Wallet):

46WDbj1YCQrCfAGW37AJi3Ljr86waWBP1GwoRCeAGcR49xtNvRWpVyXQsqWD­xW4qaQ5SxnDB4VnJZRhNaYHuvkAdVaeLeMM

2 ) Farther you should send the following code: [redacted hex] to email address [email protected].
Then you will receive all necessary key.

Prices :
Days : Monero : Offer Expires
0-2  : 3 : 03/01/18
3-5  : 5 : 03/04/18

Note: In 6 days your password decryption key gets permanently deleted.
You then have no way to ever retrieve your files. So pay now.
[/QUOTE]

выполните рекомендации по безопасной работе в сети
https://forum.esetnod32.ru/forum9/topic13764//

добавьте в ваше сообщение файл записки о выкупе + несколько зашифрованных файлов
+
добавьте образ автозапуска зашифрованной системы.

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/