вышлите архив с паролем infected в почту [email protected], проверим.
--------
+
вот полезная программа, выпущена экспертом по безопасности МАйклом Гиллеспи.
https://www.bleepingcomputer.com/forums/t/637463/cryptosearch-find-files-encrypted-by-ransomware/

в ней вы можете задать расширение файла, и указать в какой области его искать: каталог или весь компьютер.

[IMG WIDTH=394 HEIGHT=365]https://chklst.ru/uploads/editor/eq/dthcw5r6xqz5.jpg[/IMG]

[QUOTE]Иван Демидов написал:
На сетевом диске вроде как да.
На ПК ни один файл не зашифровался, только в сетевой шаре.[/QUOTE]
на сетевом диске процесс шифрования прекратился?
судя по образу, снятому с ПК файла шифратора уже нет, или неактивен после перезагрузки системы.
по neitrino скорее всего расшифровка невозможна.
помогут только бэкапы, или возможно теневые копии.

а процесс шифрования прекратился? он мог продолжаться до тех пор, пока файл шифратора висел в памяти.

Влад,
добавьте несколько зашифрованных файлов в архиве, и образ автозапуска системы.
если сохранилось тело шифратора (или вложение из почты), вышлите в почту [email protected] в архиве, с паролем infected.
+
добавьте вместе с зашифрованными файлами записку о выкупе, наверняка в ней должна быть указана версия шифратора sage.

это ваши батники?

[QUOTE]Полное имя C:\USERS\СЕРГЕЙ\APPDATA\ROAMING\SVCHOST.BAT
Имя файла                   SVCHOST.BAT
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      675 байт
Создан                      27.02.2017 в 09:05:28
Изменен                     27.02.2017 в 09:05:28
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        2082ACD56632EDC2FBCE046BDB7E6E7FEB84C4F3
MD5                         C9794A517BFCE08D795DF3420DEC0531
                           
#FILE#                      chcp 1251
del "C:\Users\Сергей\AppData\Roaming\*.rar"
del "C:\Users\D899~1\AppData\Local\Temp\*.rar"
del "C:\Users\D899~1\AppData\Local\Temp\*.scr"
del "C:\Users\D899~1\AppData\Local\Temp\*.docx"
del "C:\Users\D899~1\AppData\Local\Temp\*.exe"
del "C:\Users\D899~1\AppData\Local\Temp\*.wsf"
del "C:\Users\D899~1\AppData\Local\Temp\*.crt"
:simon
del "C:\Users\Сергей\AppData\Roaming\*.exe"
if exist "C:\Users\Сергей\AppData\Roaming\*.exe" (
ping -n 2 127.0.0.1 > nul
Goto simon)
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v TempClear /f
del "C:\Users\Сергей\AppData\Roaming\svchost.bat"
del "C:\Users\Сергей\AppData\Roaming\svchost.bat"

                           
Ссылки на объект            
Ссылка                      HKLM\laxarcnxo\Software\Microsoft\Windows\CurrentVersion\Run­Once\ClearTMP
ClearTMP                    "C:\Users\Сергей\AppData\Roaming\svchost.bat"
                           [/QUOTE]


[QUOTE]Полное имя {208C3C31-4F15-4944-83AA-C41637E92E35}.CMD
Имя файла                   {208C3C31-4F15-4944-83AA-C41637E92E35}.CMD
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R­unOnce\{208C3C31-4F15-4944-83AA-C41637E92E35}
{208C3C31-4F15-4944-83AA-C41637E92E35}cmd.exe /C start /D "C:\Users\DEMIDO~1\AppData\Local\Temp" /B {208C3C31-4F15-4944-83AA-C41637E92E35}.cmd[/QUOTE]
-----------------
утилиты для проверки что-то нашли? обычно этот вариант шифратора маскируется под утилитку от Адобе.

пробуйте сделать образ автозапуска из под winpe&uVS
https://forum.esetnod32.ru/forum27/topic2102/

порядок шифрования дисков у разных шифраторов может быть разных,
имеет смысл отключить доступ к сетевому диску, и затем локализовать на каком из устройств запущено шифрование.

если вы можете сразу определить на каком устройстве предположительно запущен шифратор,
то лучше этот комп выключить, и сделать образ автозапуска из безопасного режима.
http://forum.esetnod32.ru/forum9/topic2687/
(после того как образ будет сделан, и передан нам, комп опять же лучше выключить, до ожидания результата проверки.)

предположительно,
был открыт из почты документ (или скачан из сети) с темой "резюме."
(как правило содержит внедренный объект, который запускается на исполнение при двойном клике на ссылку или рисунок в документе резюме.)

а из безопасного режима системы можете сделать проверку в FRST?

может FRST покалеченный? попробуйте еще раз скачать утилиту, и проверить
+
[QUOTE]Не работает, даже при отключённом антивирусе.[/QUOTE]
здесь смысл не в отключении антивируса, а в запуске FRST с правами администратора.

возможно FRST надо запустить с правами администратора.
пробуйте повторить логи FRST