да, это Xorist
https://www.virustotal.com/ru/file/315b69c6b199fd73bd4917cae7fda2d81354b7e979b82b6f­1a0cfb1803720b34/analysis/1488753872/

в том числе, судя по ключу
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Alcmeter
C:\DOCUME~1\user\LOCALS~1\Temp\4Zm49xdJQDGs9vF.exe

Victur,

да, это Xorist
https://www.virustotal.com/en/file/315b69c6b199fd73bd4917cae7fda2d81354b7e979b82b6f­1a0cfb1803720b34/analysis/1488753872/

в том числе, судя по ключу
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Alcmeter
C:\DOCUME~1\user\LOCALS~1\Temp\4Zm49xdJQDGs9vF.exe

по возможности,
добавьте несколько пар в архиве: чистый-зашифрованный файл,
желательно doc, xls, jpg
под парой подразумеваем зашифрованный и чистый файл (т.е. файл, который был по состоянию до шифрования.)

-----------
по результату тестового шифрования,
Xorist_decryptor free  в данном случае расшифрует только часть файлов.

потому, лучше в [email protected] обратиться при наличие лицензии на антивирус ESET

+
вопрос: что вы имеете ввиду под "подключением по IPS"?

[QUOTE]Анатолий Куприянов написал:
[QUOTE] santy написал:
добавьте образы автозапуска из зашифрованных систем.[/QUOTE]Вы можете помочь с расшифровкой/восстановлением?[/QUOTE]
расшифровке по no_more_ransom нет,

[QUOTE]Анатолий Куприянов написал:
Почему антивирус пропускает эту заразу?
Вчера тоже словили no_more_ransom, пропали документы уже на двух ПК. Стоит лицензионный NOD32 9[/QUOTE]
добавьте образы автозапуска из зашифрованных систем.

по поводу "почему":

принимайте меры безопасности для защиты документов.

Как видите, одной антивирусной защиты бывает недостаточно,
если пользователи не соблюдают меры безопасности в работе с электронной почтой,  и не отличают офисные документы от исполняемых скриптов
если работают с правами администратора, когда в этом нет необходимости, таким образом вы теряете теневые копии при запуске шифратора.
если администраторы в локальной сети не защищают системы с помощью локальных политик по ограничению запуска нежелательных исполняемых программ.

ну, и главное, чтобы периодически создавались архивные копии важных документов и баз.

это не единичный случай,
вот строка из лога FRST
что это означает? может быть неверно показывается в файловой системе размер файла, может что-то другое.
[QUOTE]===================== Drivers (Whitelisted) ======================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

R1 eamonm; C:\Windows\System32\DRIVERS\eamonm.sys [262792 2016-12-17] (ESET)
R1 ehdrv; C:\Windows\System32\DRIVERS\ehdrv.sys [197248 2016-12-17] (ESET)
R2 epfwwfpr; C:\Windows\System32\DRIVERS\epfwwfpr.sys [181384 2016-12-17] (ESET)
R0 mountmgr; C:\Windows\System32\drivers\mountmgr.sys [94592 2010-11-21] (Корпорация Майкрософт)
R0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2012-03-24] () [File not signed]
R0 volmgrx; C:\Windows\System32\drivers\volmgrx.sys [363392 2010-11-21] (Корпорация Майкрософт)
[B]U3 ay3la6bd; C:\Windows\System32\Drivers\ay3la6bd.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero byte File/Folder)[/B][/QUOTE]

[QUOTE]Николай Ник написал:
Здравствуйте.
Недавно словил вирус шифровальщик.
Письмо осталось на почте с вирусом, если надо могу переслать для изучения.[/QUOTE]
здравствуйте,
вышлите в почту [email protected] в архиве с паролем infected
+
если необходима помощь в проверке и очистке системы, добавьте образ автозапуска из зашифрованной системы.

[QUOTE]Сергей Жало написал:
[QUOTE] santy написал:
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
[/QUOTE]Что имеете ввиду?[/QUOTE]
имею ввиду правила нашего форума.
https://forum.esetnod32.ru/forum6/topic5713/

[QUOTE]Прошу заметить, что помощь в устранении проблем связанных с вирусами не оказывается пользователям с установленной программой TNOD User & Password Finder. При обнаружении данной программы в логах, тема будет немедленно закрыта и пользователь будет заблокирован на форуме. [/QUOTE]

[QUOTE]Игорь Петровский написал:
Прошу прощения,переделал[/QUOTE]

скачать скрипт очистки системы можно отсюда
http://rgho.st/private/8D6RlNfXJ/3e30018b9d23b43e8831cc90850d06b3

или вложенного файла.
-------------
из под winpe выполняем в uVS скрипт из данного файла.

[QUOTE]Сергей Жало написал:
Лог автозапуска[/QUOTE]
Сергей Жало,
используем TNOD,
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
по правилам нашего форума, помощь в очистке системы, и расшифровке не будет оказана
обращайтесь за помощью на другой форум.

[SIZE=14pt]Итак, по *.dharma есть расшифровка, по *.wallet пока нет.[/SIZE]
ESET crysis decryptor обновлен до версии 2.0.3
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

[QUOTE][2017.03.02 21:11:30.715] - Begin
[2017.03.02 21:11:30.715] -
[2017.03.02 21:11:30.715] - ....................................
[2017.03.02 21:11:30.715] - ..::::::::::::::::::....................
[2017.03.02 21:11:30.715] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
[2017.03.02 21:11:30.715] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.3.0
[2017.03.02 21:11:30.715] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Mar 2 2017
[2017.03.02 21:11:30.730] - .::EE:::::::::::::SS:.EE..........TT......
[2017.03.02 21:11:30.730] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2017.03.02 21:11:30.730] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.
[2017.03.02 21:11:30.730] - ....................................
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - --------------------------------------------------------------------------------
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: OS: 6.1.7601 SP1
[2017.03.02 21:11:30.730] - INFO: Product Type: Workstation
[2017.03.02 21:11:30.730] - INFO: WoW64: True
[2017.03.02 21:11:30.730] - INFO: Machine guid: 22011111-391F-421D-B12F-55ABB662839B
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted,[B] .dharma[/B]
[2017.03.02 21:11:30.730] - INFO: Backup: 25
[2017.03.02 21:11:30.730] - INFO: Looking for infected files...
[2017.03.02 21:11:30.730] - --------------------------------------------------------------------------------
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\15092014 16_55_03.xls.[[email protected]].dharma]
[2017.03.02 21:11:30.839] - INFO: Cleaned.
[2017.03.02 21:11:30.839] -
[2017.03.02 21:11:30.871] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\inf.txt.[[email protected]].dharma]
[2017.03.02 21:11:30.886] - INFO: Cleaned.
[2017.03.02 21:11:30.886] -
[2017.03.02 21:11:30.886] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\keygpg.rar.[[email protected]].dharma]
[2017.03.02 21:11:30.902] - INFO: Cleaned.
[2017.03.02 21:11:30.902] -
[2017.03.02 21:11:30.902] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\readme.txt.[[email protected]].dharma]
[2017.03.02 21:11:30.902] - INFO: Cleaned.
[2017.03.02 21:11:30.917] -
[2017.03.02 21:11:30.917] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\акт.pdf.[[email protected]].dharma]
[2017.03.02 21:11:30.949] - INFO: Cleaned.
[2017.03.02 21:11:30.949] -
[2017.03.02 21:11:30.964] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\Концепт uvs.txt.[[email protected]].dharma]
[2017.03.02 21:11:30.980] - INFO: Cleaned.
[2017.03.02 21:11:30.980] -
[2017.03.02 21:11:31.011] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\Правила поведения вахтеров.jpg.[[email protected]].dharma]
[2017.03.02 21:11:31.042] - INFO: Cleaned.
[2017.03.02 21:11:31.042] -
[2017.03.02 21:11:31.276] - --------------------------------------------------------------------------------
[2017.03.02 21:11:31.276] - INFO: 25 infected files found.
[2017.03.02 21:11:31.276] - INFO: 25 file(s) cleaned.
[2017.03.02 21:11:34.131] - End
[/QUOTE]