Игорь,
поскольку вы делали образ из под winpe, то вам необходимо переделать его,
в образе добавлена система с загрузочного диска.

надо выбрать каталог системы с жесткого диска, где было шифрование, и затем выбирать уже опцию "текущий пользователь.

Сергей Жало,
добавьте образ автозапуска системы, где произошло шифрование *.no_more_*

[QUOTE]Сергей Ильин написал:
[QUOTE] santy написал:
через политику можно "Автоматически запускать защиту файловой системы в режиме реального времени",
т.е. все изменения в конфигурации выполняются через политики,
или наоборот через политики выполняется изменение конфигурации.

приостановить удаленно работу антивируса - такой функции (без политик), скорее всего нет.[/QUOTE]
Если я отключу данный параметр "Автоматически запускать защиту файловой системы в режиме реального времени" - то у всех клиентов остановиться защита?[/QUOTE]

если все клиенты будут привязаны к данной политике, то да, у всех должен этот параметр отключиться.
-----
предполагаю, поскольку еще не активно работаю с 6ERA,
что можно создать пользовательскую политику, в которую будет изменен данный параметр, и привязать к этой политике те компы, где вы временно хотите отключить файловую защиту.

если эти же компы привязаны к встроенной максимальной, или оптимальной политике с включенной файловой защитой, то их скорее всего надо будет отвязать от встроенной политики. Иначе две политики, которые переопределяют один и тот же параметр будут работать как лебедь, рак и щука.

через политику можно "Автоматически запускать защиту файловой системы в режиме реального времени",
т.е. все изменения в конфигурации выполняются через политики,
или наоборот через политики выполняется изменение конфигурации.

приостановить удаленно работу антивируса - такой функции (без политик), скорее всего нет.

Сергей Ильин,

функцию применения политик  с определенной периодичностью выполняет установленный агент удаленного администрирования.
поэтому как только новая политика создана или изменена, и к ней привязаны один или несколько или все компьютеры с установленным агентом администрирования,
считайте, что она уже отправлена к клиентам.

[QUOTE]Марина Ивко написал:
Здравствуйте! помогите пожалуйста расшифровать фотофайлы NO MORE RANSON[/QUOTE]
расшифровкм по no_more_ransom пока нет.
если необходимо проверить систему на активность шифратора, добавьте образ автозапуска системы

судя по образу система уже очищена от файлов шифратора.

по расшифровке файлов обратитесь в [email protected] при наличие лицензии на антивирус ESET

для обращения подготовьте так же:
несколько зашифрованных файлов,
желательно чистые оригиналы зашифрованных файлов,
желательно источник шифрования,
+
лог ELC (Eset log collector), созданный в системе, где произошло шифрование.
https://download.eset.com/special/logcollector/ESETLogCollector_rus.exe

Spora сегодня распространяется через вложенный в электронное сообщение скрипт wsf

https://www.virustotal.com/en/file/98d0a38c09d74fb2c1189701b9771bc464951e7bbd56b852­7d002fa0873cee1e/analysis/1488427602/

похоже, в скором времени будет возможна расшифровка для Crysis.dharma, а может быть и .wallet

[QUOTE]Out of the blue, someone posted in the BleepingComputer.com forums the supposed master decryption keys for the Dharma Ransomware. This post was created at 1:42 PM EST by a member named gektar in the Dharma Ransomware Support Topic and contained a Pastebin link to a C header file that supposedly contains these master decryption keys.[/QUOTE]

https://www.bleepingcomputer.com/news/security/alleged-master-keys-for-the-dharma-ransomware-released-on-bleepingcomputer-com/

[QUOTE]Иван Лебедев написал:
Выполнили все как сказали, вот новый образ. Есть ли шанс на дешифровку в ближайшем будущем?..[/QUOTE]
в ближайшем будущем нет, в неопределенном будущем  - есть.