печально, значит spora и расшаренные папки шифрует, не только подключенные диски.

добавлю, что без подобных файлов:
[QUOTE]RU302-15XRK-GXTFO-GZTET-KTXFF-ORTXA-AYYYY.HTML
RU302-15XRK-GXTFO-GZTET-KTXFF-ORTXA-AYYYY.KEY
RU302-15XRK-GXTFO-GZTET-KTXFF-ORTXA-AYYYY.LST[/QUOTE]
восстановить документы в обозримом будущем будет проблематично.

Алексей Бондарь,
добавьте образ автозапуска системы, где вы получили зашифрованные файлики.
+
найдите исходное письмо, из которого был запущен шифратор.
(предположительно, это должно быть архивное вложение, которое содержит файл якобы документа, но с расширением hta)
перешлите данное письмо в архиве с паролем infected в почту [email protected]

[QUOTE]Дмитрий Н написал:
[QUOTE] santy написал:
обновите базы на всех антивирусных клиентах, и запустите полную проверку дисков,
если этот файл детектируется, то и производные от него так же должны детектироваться.[/QUOTE]да, нашел антивирус эти файлы, удалил. Так вот вопрос остается, по сети вирус смог куда-то далеко уйти?[/QUOTE]
кто ж его знает, куда он успел дойти.
Не факт, что он шифрует расшаренные сетевые папки, возможно, работает только  как червь, т.е. добавляет ярлыки папок.
проверяйте, открываются документы в расшаренных папках или нет.

[QUOTE]Сергей Сафонов написал:
может мне ещё чего на компе поискать что поможет?[/QUOTE]
вот такого типа ключи поищите:
RU85C-73RRT-****-HTOET-*****.KEY

[QUOTE]Дмитрий Н написал:
[QUOTE] santy написал:
Дмитрий Н,
добавьте образ автозапуска с машины, с которой червь начал свое "триумфальное" путешествие по вашей локальной сети.[/QUOTE][/QUOTE]
да, здесь в Темпе есть файлик, детектируемый как Spora


Полное имя                  C:\USERS\GORDEEVS\APPDATA\LOCAL\TEMPSP.EXE
Имя файла                   TEMPSP.EXE
Тек. статус                 ?ВИРУС? [Запускался неявно или вручную]
                           
www.virustotal.com          2017-01-20
Symantec                    ML.Attribute.VeryHighConfidence [Heur.AdvML.B]
ESET-NOD32                  a variant of Win32/Injector.DKCH
Avast                       Win32:Malware-gen
Kaspersky                   Trojan-Ransom.Win32.Spora.h
DrWeb                       BackDoor.Siggen.60255
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     5877B8421D000
Linker                      6.0
Размер                      118784 байт
Создан                      20.01.2017 в 08:18:34
Изменен                     20.01.2017 в 08:18:34
                           
TimeStamp                   12.01.2017 в 17:09:22
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        5AC3D2E71BD53E7AD70577C01F1CB4B9DFA2ABD8
MD5                         EE0D34559792DAA102296A49B7BE1E36
                           
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                           
--------------
обновите базы на всех антивирусных клиентах, и запустите полную проверку дисков,
если этот файл детектируется, то и производные от него так же должны детектироваться.

[QUOTE]Сергей Сафонов написал:
17,01,2017 началось примерно в 11-15[/QUOTE]
понятно,
да это файлик от Spora
https://www.virustotal.com/ru/file/9c0d7e7ed25844202a2edc1416a0dd9cc84fe3797a483f6b­0a3742b252d9ba56/analysis/

[QUOTE]Сергей Сафонов написал:
отправил на почту  [URL=mailto:[email protected]][email protected][/URL] [/QUOTE]
Сергей, когда шифрование было?

Дмитрий Н,
добавьте образ автозапуска с машины, с которой червь начал свое "триумфальное" путешествие по вашей локальной сети.

Сергей Сафонов,
судя по образу файлов шифратора нет в автозапуске.
возможно и зашифровать документы не успел сделать.
вышлите файл из временной папки в архиве с паролем infected в почты [email protected]

Сергей Сафонов,
добавьте образ автозапуска системы в uVS
http://forum.esetnod32.ru/forum9/topic2687/
+
обратите внимание на то, что файл шифратора имеет функционал червя, т.е. скрывает папки в корне диска, и добавляет ярлыки папок,
в ярлыки добавлен запуск файла шифратора, так что можно таким образом и повторно запустить тело шифратора.
--------
файл образа посмотрю немного позже.