[QUOTE]Валентина Киселева написал:
Возможно ли как-то получать такую информацию по e-mail? Или только вручную подключаться к сайту с обновлениями и проверять?[/QUOTE]

уведомлений о выходе новой версии антивирусных баз нет, в течение дня может быть выпущено 4-5 обновлений.
если вы настроите в планировщике задач обновление  баз т.о., что через каждый час клиенты будут автоматически подключаться к серверу обновлений, так вам и не надо будет делать это вручную.
если же вы планируете выполнять контроль обновлений клиентов со стороны сотрудников через сервер ERA, можно это делать периодически со стороны сотрудников технической поддержки, или ответственного  администратора.

судя по зашифрованному файлу и записке о выкупе, это

[QUOTE]Blackout
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   sample_extension: <base64>
[/QUOTE]
https://id-ransomware.malwarehunterteam.com/identify.php?case=642c79f9bb7defb6cfd16320d0caa4139cec0178

хотя может быть и неверный детект
-----
update: Скорее всего это CryptConsole3

@Константин Григорьев,

если у вас есть лицензия на антивирусный продукт ESET, сделайте запрос в [email protected]
+
если необходимо проверить сервер, сделайте образ автозапуска системы

[QUOTE]RP55 RP55 написал:
А здесь у нас WMI...[/QUOTE]
и не только.
возможно было два конкурирующих продукта майнеров ([B]BOOT.DarkGalaxy[/B]
https://www.virustotal.com/ru/file/8a7f542b6cff744dd7d80eb510b6359e9214640c03ded5dc­1acfe5274d891103/analysis/1540003309/
и WMI-майнер AdylKuzz)

[QUOTE]Полное имя MBR#0 [931,5GB]
Имя файла                   MBR#0 [931,5GB]
Тек. статус                 ?ВИРУС? ВИРУС загрузчик
                           
Обнаруженные сигнатуры      
Сигнатура                   Trojan.Boot.DarkGalaxy.a [Kaspersky] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2018-09-14
                           
www.virustotal.com          Хэш НЕ найден на сервере.
www.virustotal.com          2018-10-20
Kaspersky                   Trojan.Boot.DarkGalaxy.a
DrWeb                       Trojan.NtRootKit.19689
                           
Сохраненная информация      на момент создания образа
Статус                      загрузчик
Размер                      440 байт
                           
Доп. информация             на момент обновления списка
SHA1                        70AF4248427B9FDB75AEB76CF5DB95D2FA55B803
                           
#BINOBJ#                    29DB29C0FA5317368926FE7BBCFE7B1E6660531F3EA1130424FC83E8403E­A31304C1E0068EC0FC0E58C1E004E8000083E82F5E01C631FFB90001F3A5­1E066A0007B83C02B90300BA8000BB007ECD13071FBE047EBF0002E80500­0668BE00CB60BB008029ED29D229C029C94DE8030061C3A4E8400072FA41­E83500E34073F983E903720688CCACF7D09531C9E8210011C9750841E819­0073FB414181FD00F383D1018D03961E06061FF3A4071F96EBC2E8020011­C901DB7504AD11C093C3B8AA55CD153D55AA7403E8350131D28EC2B80102­B90200BA8000BB007CCD1366611F5CEA007C000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­000000000000000000000000000000000000000000000000000000000000­00000000000000000000000000000000002C4463FA42EBE5000000010100­07FEFFFF3F000000809D841E00FEFFFF07FEFFFFBF9D841E98E5691800FE­FFFF07FEFFFF5783EE366AD6813D00000000000000000000000000000000­55AA[/QUOTE]

+
новый вариант CrySiS; файлы зашифрованы с расширением [B].FUNNY,[/B]

например,

Port3NaPochtu.epf.id-8ADB6DDA.[[email protected]].FUNNY

FILES ENCRYPTED.txt:

[QUOTE] all your data has been locked us
   You want to return?
   write email [email protected][/QUOTE]

info.hta:

   [QUOTE]All your files have been encrypted!
   All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected]
   Write this ID in the title of your message 8ADB6DDA
   In case of no answer in 24 hours write us to theese e-mails:[email protected]
   You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
   Free decryption as guarantee

   Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

   How to obtain Bitcoins

   The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
   https://localbitcoins.com/buy_bitcoins
   Also you can find other places to buy Bitcoins and beginners guide here:
   http://www.coindesk.com/information/how-can-i-buy-bitcoins/

   Attention!

   Do not rename encrypted files.
   Do not try to decrypt your data using third party software, it may cause permanent data loss.
   Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
[/QUOTE]

[QUOTE]Алексей Ш написал:
Возможно ли это в рамках одной лицензии?[/QUOTE]
в рамках 5 или 6 ERA версии такое разделение лицензии на части невозможно.
Возможно лишь выделение группы компьютеров для администрирования (назначение, выполнение задач и политик) сотруднику, которому предоставлены полные права администора.

Вы так же можете сделать запрос в техподдержку [email protected] чтобы уточнить возможно ли для вас в данном случае необходимое решение.

[QUOTE]Ерхан Измаганбетов написал:
Чем отличается Eset uninstaler с обычном удалением[/QUOTE]
тем, что обычная переустановка поверх (или деинсталляция в нормальном режиме) может не решить проблему, в то время как полное удаление продукта с очисткой записей реестре гарантировано возможно только с ESET Uninstaller, который должен быть запущен из безопасного режима системы.

[QUOTE]viktor solodkiy написал:
В автозапуске был info.hta .[/QUOTE]

Crysis/Dharma

[QUOTE]Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   sample_bytes: [0x12A020 - 0x12A060] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
   custom_rule: Original filename "dao360.dll" after filemarker
[/QUOTE]
https://id-ransomware.malwarehunterteam.com/identify.php?case=03ac7878487f60fd2f205c4da5d29b897885899b

@viktor solodkiy,
нужен образ автозапуска, возможно  в системе (или в карантине антивируса) сохранилось тело файла шифратора.

да, это Crysis

[QUOTE]Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   sample_bytes: [0x5460 - 0x54A0] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
   custom_rule: Original filename "Port3NaPochtu.epf" after filemarker
[/QUOTE]
https://id-ransomware.malwarehunterteam.com/identify.php?case=5074e348aa45084830f06eb837a971236bb082f8

ESET обычно реагирует на файлы записок о выкупе,
https://www.virustotal.com/#/file-analysis/Y2M1NjM0NmFmYWVhZDFmNzdhZmU5NzkzYTY2MDZlNjI6MTUzOTk­zODM4NA==
в данном случае такая реакция:
ESET-NOD32: Win32/Filecoder.Crysis

@Артем а,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\MICROSOFT\WINDO­WS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-8ADB6DDA.[[email protected]].FUNNY
apply

regt 27
deltmp
;-------------------------------------------------------------

quit
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------