Дмитрий,
обновите ESS до актуальной версии.

[QUOTE]Сергей Северин написал:
День добрый, помогите расшифровать файлы[/QUOTE]
а есть такая записка о выкупе по данному шифратору?
How to restore files.hta

или файл шифратора?
-------
+
если можно, добавьте помассивнее пару файлов чистый -зашифрованный.
на 50-100кб,
doc или xls

[QUOTE]Azamat Samedov написал:
Добрый день!
Если у вас будут шифрованные, расшифрованные файлы трояном ransom win32 rannoh, а также дешифратор данного трояна
+ ключ дешифровки вы сможете создать свой дешифратор, но для всех?[/QUOTE]
один ключ подойдет только для одного пользователя, так же, как своим ключом вы сможете открыть только свою квартиру.
поэтому универсальный дешифратор создать не получится для всех.

в любом случае,
если у вас есть такой комплект, присылайте в почту [email protected]  в архиве с паролем infected

[QUOTE]Markus Balter написал:
Can I use Shadow Explorer to restore crypted files? According to:  https://www.virus-entferner.de/2017/01/15/spora-ransomware-virus-entfernen/  it helps only if the programm do not delete Shadow copies. For example, Spora Ransomware, delete them. What tool can I use in this case?
Thanks[/QUOTE]
Yes, you can,
in that case, if the shadow copies are not deleted if the user was working with an account without administrator rights.

@Юлия Рейнке,
судя по образу автозапуска файлов шифратора уже нет  или неактивны в системе
с расшифровкой не поможем.

[QUOTE]Валентина Захарова написал:
Вот еще один зараженный пк.[/QUOTE]
судя по по об разу здесь нет следов шифратора.
если нужна тщательная проверка, откройте тему в разделе обнаружение заражений
https://forum.esetnod32.ru/forum6/
но тему создаем, если есть реальная проблема.

[QUOTE]Валентина Захарова написал:
Подобные ярлычки (как в текстовом файле - примере)  и скрытые папки есть на пк секретарь и на эконом, на рецепт отсутствуют,  получается после применения данных скриптов надо их все поудалять (и папки с зашифр файлами и ярлыки)? Расшифровщика все равно нет и думаю не будет.  Так же в процессе обнаружилось, что заражен еще один пк, сделаю образ сброшу. Запустим проверку и на остальных пк. Больше всего страшно за сетевую папку, в бэкапы не попадет этот вирус? Нет ли у него отложенного старта какого~нибудь он дальше распространятся не будет,  если нет таких ярлычков на других пк? И как проверять другие пк дальше опять cureit_ом, я не совсем понимаю он именнно его обнаруживал или друг е какие~то вирусы?[/QUOTE]
обновите антивирусные базы установленного антивируса, и сделайте полную проверку всех подключенных дисков.
там где нет установленного ESET, используйте он_лайн сканер.
http://download.eset.com/special/eos/ESETOnlineScanner_RUS.exe

по компу:
ECONOM2_2017-02-09_13-17-48.7z (614.17 КБ)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\BOOKVIEW\BOOKVIEW.EXE
addsgn 9252776A186AC1CC0BF45C4EA34FD635358AF46E204848FB483C2EB2C046­E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD128­4C18A19D 13 nod83_vir

delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\ADOBE\MANAGER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\DAMFAX\TOUGH-TOM.DLL
del %SystemDrive%\PROGRAMDATA\DAMFAX\TOUGH-TOM.DLL

delref {8E5E2654-AD2D-48BF-AC2D-D17F00898D06}\[CLSID]
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER­\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\SPIGOT\GC

deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME2550\CH

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME2550

delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER­ DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\UNITY\WEBPLAYER

deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\ASPACKAGE

deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\MICROSOFT\WINDOW­S\START MENU\PROGRAMS\ASPACKAGE

delref HTTP://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBVFHKT0_PMCSKEQNIZQVSODDJO7SA_3MYKBOOJTU­QMBO68TERZAFRUGTD7WYJDQGM0KBDW_A66EHJFNBCEEOEHLB8BLLCIV6BLDC­19WILYOP-SHNNFTVPIQKV1KPGTYQFM5TCYSVAMVM7FD7VKBDQEBKMQC6OHKUSS29I7HOP­9N25YHIEQ94
delref HTTP://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBVFHKT0_PMCSKEQNIZQVSODDJO7SA_3MYKBOOJTU­QMBO68TERZAFRUGTD7WYJDQGM0KBDW_A66EHJFNBCEEOEHLB8BLLCIV6YCYV­HS6H4OV4VKHTXEKCYY-TQICEEYVQPQ57T1RVSS4LN4FSN0EL1QZLQJSDCRYMW_9WKWUJTT0RF

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
обновите антивирусные базы, если у вас антивир с дейстующей лицензией, и выполните полное сканирование системы.
затем уже можно планировать дальнейшую работу на нем.

т.е. следы шифратора  здесь были только на первом компе.

по компу:
RECEPT01_2017-02-09_14-08-28.7z (487.29 КБ)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %Sys32%\DRIVERS\QUTMIPC.SYS
del %Sys32%\DRIVERS\QUTMIPC.SYS

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.14_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.14_0\СТАРТОВАЯ — ЯНДЕКС
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
обновите антивирусные базы, если у вас антивир с дейстующей лицензией, и выполните полное сканирование системы.
затем уже можно планировать дальнейшую работу на нем.

по компу
SECRETAR_2017-02-09_12-57-39.7z (456.74 КБ):

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\7AF6CCFE1C5776C­C.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\СЕКРЕТАРЬ\APPDATA\LOCALLOW\UNITY\WEBPLAY­ER\LOADER

deltmp
delnfr
;-------------------------------------------------------------

delref 7AF6CCFE1C5776CC.EXE
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
обновите антивирусные базы, если у вас антивир с дейстующей лицензией, и выполните полное сканирование системы.
затем уже можно планировать дальнейшую работу на нем.