@Артем а,
судя по наличию файла info.hta, по идентификатору, добавленному в заголовок зашифрованного файла,
а так же потому, что в конце файла добавлено имя оригинального файла,
(например, Port3NaPochtu.epf)
это свежий вариант Crysis, без расшифровки получается на данный момент.
активного шифрования уже нет, чуть позже напишу скрипт очистки.

посмотрите в системе, есть ли такие файлы:

[B]FILES ENCRYPTED.txt[/B]

если есть такой файл, добавьте так же его в сообщение на форуме.
+
этот файл так же добавьте во вложение сообщения

[B]C:\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA[/B]


[QUOTE]Полное имя C:\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
Имя файла                   INFO.HTA
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      13916 байт
Создан                      17.10.2018 в 09:12:20
Изменен                     18.10.2018 в 12:53:11
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\MSHTA.EXE
SHA1                        E12E090BEEA1ECF54CC107A068B44470DCDD2A6C
MD5                         4B4032E5295129C3B4B2AB652E0D511B
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1650623945-3038832851-789751919-1007\Software\Microsoft\Windows\CurrentVersion\Run\C:\Users\Director\AppData\Roaming\Info.hta
C:\Users\Director\AppData\Roaming\Info.htamshta.exe "C:\Users\Director\AppData\Roaming\Info.hta"
                           
[/QUOTE]


эти файлы: [B]FILES ENCRYPTED.txt и Info.hta[/B] нужны для точной идентификации типа шифратора, которым зашифрованы ваши файлы

@viktor solodkiy,

добавьте образ автозапуска системы, в которой был запущен шифратор.
+
добавьте несколько зашифованных файлов и записку о выкупе. (можно предварительно поместить их в архивный файл)

возможно это вариант шифратора Crysis.

@oldq Q,
вы сами можете это сделать. Напишите о вашем предложении в [email protected],
скажем, на моем компутере после обновления EIS до версии 11.2.63 UAC не был включен. (Win7x64)
настроек, связанных с UAC явно в конфигурации не вижу, возможно что-то есть при включении опции "защита от Ransomware"

[QUOTE]oldq Q написал:
где он что изменил - хз....можно копать, конечно, но мне работать нужно, поэтому с eset придётся прощаться. хотя жили долго и счастливо...[/QUOTE]

вы можете откатить систему на момент переустановки продукта, и продолжать жить счастливо.

Отключение UAC через командную строку

http://fastvista.ru/content/view/168/

[QUOTE]oldq Q написал:
как это всё убрать, мне не нужны эти лишние действия с запуском от имени администратора и тому подобное...брандмауер windows и учётные записи у меня были отключены сразу после установки win7 x64 за ненадобностью,и до установки новой версии eset эти опции не подавали признаков жизни...[/QUOTE]

Настройка и отключение UAC в ОС Windows 7

http://fastvista.ru/content/view/17/

[QUOTE]Egor Kondratyev написал:
Эти события во вкладке сетевых событий[/QUOTE]
а имя приложения не фигурирует в логе?
[QUOTE]Время; событие; действие; источник; объект; протокол; правило/название червя; [B]приложение[/B]; пользователь[/QUOTE]
как часто это сообщение (Скрытый канал ICMP;Заблокировано) появляется после очистки системы от LOIC, (или если LOIC не запущен в системе у вас)?

запись в логе старая.

Время;Сканер;Тип объекта;Объект;Угроза;Действие;Пользователь;Информация;Хэш;Первое обнаружение
25.09.2018 11:36:14;Модуль сканирования JavaScript;файл;https://rotumal.com/4/1241630/;JS/Adware.Agent.AA приложение;заблокирован;DESKTOP-K4B0RPC\furry;Обнаружена угроза при попытке доступа в Интернет следующим приложением: F:\Program Files (x86)\Google\Chrome\Application\chrome.exe (5C8D9AD934D9F670976AFAC0749DF1F37A6CA4EF).;376E74030E46B9637B6011D7F4B6CB9EDB757DA3;

нужны детекты, которые связаны именно с вашей проблемой.
ведь были в журнале более свежие детекты, судя по первому сообщению

[QUOTE]Время; событие; действие; источник; объект; протокол; правило/название червя; приложение; пользователь
13.10.2018 19:02:00;Скрытый канал ICMP;Заблокировано;213.141.***.***;80.68.78.99;ICMP;;;
[/QUOTE]

[QUOTE]Egor Kondratyev написал:
Выполнил скрипт последний. Пока сообщений таких нет. Обычно при старте вылезало сразу[/QUOTE]

вообще-то LOIC судя по образу запускался вручную, из архива zip
"C:\Users\furry\AppData\Local\Temp\7zOCD9B689B\LOIC.exe"

@Egor Kondratyev,
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/