Arslan Gaipberdyyew,
добавьте образ автозапуска с вашего сервера.

[QUOTE]Danila Bagrov написал:
Добрый день,
продолбилась такая же зараза. Вовремя заметили подозрительную нагрузку, удалось часть данных спасти, но 30% все же зашифровано. Систему от вируса очистили. Удалось схватить исполняемый файл in.exe(во вложении архив с паролем 123) и пример зашифрованного файла в архиве setup.rar без пароля, в нем находится оригинальный файл и зашифрованный.
Каковы шансы на расшифровку?  [/QUOTE]
добрый,
добавьте таки образ автозапуска для проверки системы, и возможно необходима еще очистка системы.

ESET-NOD32
Win32/Filecoder.Crysis.L
https://www.virustotal.com/#/file/8a3ce808ac369c618dd84df41a30f5d728d310548eb8be23c7a5f6­a6ec5613ea/detection
---------
шансы на расшифровку есть, но не в настоящем, а в будущем.
пока что только актуальные архивы помогут вам восстановить те 30% что было зашифровано.
(проверьте так же теневые копии, возможно не успел шифратор их очистить).

судя по новому образу чисто теперь,
по расшифровке не поможем. архивные копии, пока что - единственный шанс в вашем случае восстановить файлы.

судя по детектированию на IDRansomware
[QUOTE] Опознан как

   ransomnote_filename: How_return_files.txt
   ransomnote_email: [email protected]
   sample_extension: .<email>.ID<id>[/QUOTE]

это RSAUtil Ransomware
расшифровки по нему в настоящее время нет.
можно так же следить за этой темой
https://www.bleepingcomputer.com/forums/t/646245/rsautil-ransomware-help-topic-how-return-filestxt-helppmeindiacom/

по очистке системы выполните:
(следов шифратора не увидел, зато целая коллекция майнеров трудится.)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ЮЗЕР\PICTURES\SVDHOST.EXE
zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\ST.BAT
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ЮЗЕР\APPDATA\LOCAL\TEMP\RARSFX5\1.VBS
delall %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\ST.BAT
zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\MICROSOFT OPERATING SYSTEM.EXE
addsgn A7679BF0AA0234BA4AD4C6F1F1891261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95C16DC9EE82BD6D738076F775BAC­CA8A0931 8 Win64/CoinMiner 7

zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MICROSOFT\WINDOWS\T­EMPLATES\SVCHOST.EXE
addsgn BA6F9BB2BD994D720B9C2D754C21F8F9DA7503D3B5E41F787AE623A250D6­8E69CB09C357C17077572B8048530E95A5D23554E9F36DB9C341CD0288AC­BF1E2606 8 TR/Drop.Agent.CE.10 7

addsgn BA6F9BB2BD994D720B9C2D754C21F8F9DA7503D3B5E41F787AE623A250D6­8E69CB09C357C17077572B8048530E95A5D23554E9F36DB9C341CD0288AC­BF1E2606 8 Win64/CoinMiner 7

zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\RAN.EXE
addsgn 9AC0769A55024C720BD4C6E5508912ED79CAFCF60A3E131085C3C5BCB883­314C23B49B637F55F5492B8084F7460649FA15DFE8725532F26C2D77077B­F347229B 8 miner 7

addsgn A7679BF0AA02B4D14BD4C6B1FA881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95CE6DC9FE82BD6D7E0FD6C775BAC­CA52F332 8 miner 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAP3LAK.EXE
delref %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\SSSSS.VBS
delref %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\AAA.VBS
delref %SystemDrive%\USERS\671D~1\APPDATA\LOCAL\TEMP\CHROME_BITS_49­28_8768\26.0.0.151_WIN64_PEPPERFLASHPLAYER.CRX3
delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\TEMP\CHROME_BITS_48­08_27597\26.0.0.151_WIN64_PEPPERFLASHPLAYER.CRX3
delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\TEMP\CHROME_BITS_62­72_2413\505_ALL_STHSET.CRX3
delref %SystemDrive%\USERS\IRINA\APPDATA\LOCAL\TEMP\CHROME_BITS_424­0_6332\498_ALL_STHSET.CRX3
delref D:\ВИТРАЖИ\СКЛАД\SLS-SKLAD\SLS-SKLAD\MONITOR.EXE
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\VIRTUAL MACHINES\WINDOWS7\WINDOWS7.VMX
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\YOTA\YOTA ACCESS (MODEMS)\YOTAACCESS.EXE
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\NMPAR.SYS
delref %Sys32%\DRIVERS\NMSERIAL.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref E:\AUTOINSTALL.EXE
delref D:\SETUP.EXE
delref D:\ВИТРАЖИ\СКЛАД\SLS-SKLAD\SKLAD_W.EXE
;-------------------------------------------------------------

restart
czoo
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

TrID - это утилита, предназначенная для идентификации типов файлов из их двоичных подписи.
Хотя существуют аналогичные утилиты с жестко закодированной логикой, TrID не имеет фиксированных правил.
Вместо этого он расширяемый и может быть обучен распознавать новые форматы быстрым и автоматическим способом.

[IMG WIDTH=693 HEIGHT=582]http://mark0.net/screenshots/tridnet.png[/IMG]

http://mark0.net/soft-trid-e.html

@Andrey Yakyshev,
добавьте образ автозапуска системы, возможно есть в системе еще файлы, по которым можно идентифицировать тип шифратора.
+
добавьте записку о выкупе.

[QUOTE]Vics Vics написал:
После выполнения скрипта пусто в  Панель управления-Администрирование[/QUOTE]
возможно, это результат шифрования lnk файлов.

Vics,
по очистке системы выполните это

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
deltmp
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\WINDOWS64\GO.VBS
delall %SystemDrive%\USERS\ALENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-C0D7888E.[[email protected]].ARENA
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemDrive%\INTEL\JAVA.VBS
delref %SystemDrive%\USERS\ALENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\INFO.HTA
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref D:\CONSULTANT\CONSULTANT\HTTPCLIENT\WWWCLIENT.EXE
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\RAMGMTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\AAEDGE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\RDCENTRALDBPLUGIN.DLL
delref %SystemRoot%\SYSWOW64\TSSDIS.EXE
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\KPSSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\RPCPROXY\RPCPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\WINZIP\FAHCONSOLE.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\LBSERVICE.DLL
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\7\V8_DE69_44.TMP
delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\3\V8_D76D_90.TMP
delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\2\V8_1EE0_17.TMP
delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\3\V8_7975_46.TMP
delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\1\V8_5453_46.TMP
delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\5\V8_2C90_16.TMP
delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\4\V8_28E3_4A.TMP
delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\5\V8_7D26_15.TMP
delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\5\V8_64BC_4C.TMP
delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\5\V8_4BAC_46.TMP
delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\2\V8_820D_18.TMP
delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\5\V8_8A73_15.TMP
delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\4\V8_47B0_15.TMP
delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\4\V8_550D_14.TMP
delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\2\V8_4228_19.TMP
delref %SystemDrive%\USERS\YURIL\APPDATA\LOCAL\TEMP\4\V8_A100_14.TMP
delref %SystemDrive%\USERS\YURIL\APPDATA\LOCAL\TEMP\4\V8_37C2_19.TMP
delref %SystemDrive%\USERS\YURIL\APPDATA\LOCAL\TEMP\4\V8_D0C_13.TMP
delref %SystemDrive%\PROGRAM FILES (X86)\XEROX OFFICE PRINTING\WORKCENTRE SSW\ADDRESS BOOK EDITOR\XR1AHELPER64.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\AEPROAM.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\INETSRV\IISRSTAS.EXE
apply

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке не поможем.
возможно, через какое то время будут опубликованы ключи по cesar/arena, тогда станет возможна расшифровка по новым вариантам.
(так что имеет смысл сохранить важные документы на отдельный носитель и ждать, когда наступит это время.)

этот файл вам известен?

[QUOTE]Полное имя C:\PROGRAMDATA\WINDOWS64\GO.VBS
Имя файла                   GO.VBS
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
LNK.VBS                     (ИМЯ ФАЙЛА ~ .VBS)(1)   AND   (ССЫЛКА ~ .LNK)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске [Запускался неявно или вручную]
Размер                      139 байт
Создан                      08.09.2017 в 04:10:05
Изменен                     07.05.2017 в 09:59:37
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        667692FCACA2F4B3D9D2A6451F08933518BC8E35
MD5                         418F169230FD9FC068FB2A0EC6AB0D9A
                           
#FILE#                      Set WshShell = CreateObject("WScript.Shell")
WshShell.Run chr(34) & "C:\ProgramData\Windows64\go.bat" & Chr(34), 0
Set WshShell = Nothing
                           
Ссылки на объект            
Ссылка                      C:\USERS\ALENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EXPLORER.LNK
SHORTCUT                    C:\USERS\ALENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\explorer.lnk
                           
[/QUOTE]