Алексей Бахир,
это не единственный выход или вывод, который вы должны сделать.
1. проводить разъяснение среди сотрудников, чтобы не открывали все подряд.
2. настроить локальные политики по ограничению запуска исполняемых программ, в том числе из архивов.
3. настроить регулярное создание архивных копий документов на отдельный носитель, так чтобы данный диск был не доступен в том случае, если запускаются шифраторы.

очистка системы здесь необходима в любом случае, если вы, или ваши сотрудники планируют на нем работать дальше.

[QUOTE]Алексей Бахир написал:
на сколько я понимаю все эти "Коды" для чистки - это всего лишь альтернатива обычному  ССleaner-у?
т.е. небольшая чистка реестра от старого мусора, ни как не связанная с проблемой воздействия вируса?
и ни каких "рецептов" по восстановлению документов не предвидится....[/QUOTE]

Алексей Бахир,
здесь много мусора, с которым ccleaner просто не справится.
----------
рецепты по восстановлению: сохранить зашифрованные документы из важных папок на отдельный носитель,
а также файл KEY, который был создан шифратором,
(примерно, такой
RU42D-8EXXR-HTFGT-ZTXZH-ZTXRG-ATGEY.key
только у вас будет другой код)

и ждать, когда будет решение по расшифровке.
--------
по вашим файлам:
exe:
https://www.virustotal.com/ru/file/491afa46f1f4ed5e9831e92bf31a65505a89a9d12fc010bc­5e1369f0e4ae12e9/analysis/1484733825/
hta:
https://www.virustotal.com/ru/file/15b093c9185496d62161ba6d69cb6e7f992d385e7985a017­80a896b64c3b9e64/analysis/1484733946/

[QUOTE]Марк Овкин написал:
Здравствуйте. Тоже стали жертвой шифровальщика spora, прикрепляю зашифрованный файл и образ автозапуска системы. Можно ли расшифровать?[/QUOTE]

файл от Spora, который называется RU42D-8EXXR-HTFGT-ZTXZH-ZTXRG-ATGEY.key сохраните,
поскольку именно он вас идентифицирует в базе мошенников, и скорее всего в нем зашифрован ваш приватный ключ, который необходим будет для расшифровки файлов. (если до этого дойдет когда -нибудь)


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FUPDATE\FUPDATE­.EXE
addsgn 1A26739A5583CC8CF42B5194B849530570011000CCF21E2E0E3202BA3C51­304C571DA95B68BDA3B5D47FDDC6CDD017A7BFDBE8BE99167C7DA03B8027­ECCEA192 8 Win32/Adware.RuKoma

zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\SEARCHGO\SEARCH­GO.EXE
addsgn 1AE2B39A5583338CF42B464E1BC8128EF501BE9AB2FF2B67C0C3B1ACDBDB­89536617461D4E2098A1B7F6849FCD564D3995069772555160A76F1B9F2A­F3196773 8 Win32/Adware.SearchGo

zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCALLOW\SEARCHGO\SEA­RCHGO.DLL
addsgn A7679B1928664D070E3C821F64C8ED70357589FA768F179082C3C5BCD312­7D11E11BC33D323D1DBA28906C5F0F1649C9BD9F6307595F4659214E9137­8402327C 64 Win32/Adware.SearchGo

addsgn A7679BF0AA02F4382BD4C60D4BE81261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95C7E3EFFE82BD6D73C940D775BAC­CA969A53 8 Win32/Injector

zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\DESKTOP\112F79F4-B344-3BA7-DD35-0C92AF820555.EXE
zoo %SystemDrive%\112F79F4-B344-3BA7-DD35-0C92AF820555.EXE
zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\TEMP\112F79F4-B344-3BA7-DD35-0C92AF820555.EXE
zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\MICROSOFT\WIN­DOWS\START MENU\PROGRAMS\STARTUP\RU42D-8EXXR-HTFGT-ZTXZH-ZTXRG-ATGEY.HTML
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\MICROSOFT\WIN­DOWS\START MENU\PROGRAMS\STARTUP\RU42D-8EXXR-HTFGT-ZTXZH-ZTXRG-ATGEY.HTML
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SPXQBLPFKICEYNI.POLITICAL-JUMP.TOP/CHROME.CRX
delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\RIGHTCHOSE\REGC­HECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\RIGHTCHOSE\REGC­HECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\PBOT\PYTHON\P­YTHONW.EXE
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\PBOT\PYTHON\P­YTHONW.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOJNMEMGACLIIFIHCAGIJAADGPEIOOOA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILTEROPTIONS\R­EGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILTEROPTIONS\R­EGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\TESTMENU\REGCHE­CK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\TESTMENU\REGCHE­CK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\IMMEDIATEHELP\R­EGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\IMMEDIATEHELP\R­EGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\DATEOPTION\REGC­HECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\DATEOPTION\REGC­HECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\GOOGLE\CHROME\U­SER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\GOOGLE\CHROME\U­SER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
delref HTTP://GRANENA.RU/?UTM_SOURCE=UOUA03N&UTM_CONTENT=E739009BCCD5F1E6D71A91BFF5994­529&UTM_TERM=BAB48F2455BCBB04809B551F46B0A901&UTM_D=20161121­
delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILESYSTEMOPTIO­NS\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILESYSTEMOPTIO­NS\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\LASTNEWS\REGCHE­CK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\LASTNEWS\REGCHE­CK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\VALIDATELIFE\RE­GCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\VALIDATELIFE\RE­GCHECK.VBS

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

расшифровки по Spora нет,

[QUOTE]Алексей Бахир написал:
Сами ЕХЕшники по всем диска я поубивал (кроме одного. оставленного для изучения)
[/QUOTE]

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
sreg

delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\QQPCRTP.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TAOFRAME.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\QMUDISK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\QQSYSMON.SYS
delref %Sys32%\DRIVERS\TFSFLT.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TS888.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TSKSP.SYS
delref %Sys32%\TSSK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TSSYSKIT.SYS
delref %Sys32%\DRIVERS\TAOACCELERATOR.SYS
delref %Sys32%\DRIVERS\TAOKERNEL.SYS
delref %Sys32%\DRIVERS\TSFLTMGR.SYS
delref %Sys32%\DRIVERS\UCGUARD.SYS
areg

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска.

Алексей Бахир,
добавьте образ автозапуска системы, на которой было шифрование
http://forum.esetnod32.ru/forum9/topic2687/

исходное сообщение перешлите в почту [email protected] в архиве с паролем infected
+
добавьте исполняемый exe шифратора, так же в архиве, с паролем infected

[QUOTE]Создались ярлыки вместо папок папки скрылись, содержимое папок не открывается. Расширения стандартные. в ярлыках пути такие
C:\Windows\system32\cmd.exe /c explorer.exe "\\PARIZH_SERVER\Документы\itmaster" & type "\\PARIZH_SERVER\Документы\0b42f998-8c83-9c3e-bbc6-fda4f022ba24.exe" > "%tmp%\0b42f998-8c83-9c3e-bbc6-fda4f022ba24.exe" & start "\\PARIZH_SERVER\Документы\itmaster" "%tmp%
Сам файл прикреплен
[/QUOTE]
угу, теперь понятно что это.
это Spora.
https://chklst.ru/discussion/1583/vymogateli-iz-darkneta-novyy-shifrovalschik-spora

собственно, скрытие папок в корне диска - один из симптомов Spora. Второй признак, это создание ярлыков, с запуском файлика Spora.
третий признак - это шифрование файла без изменения расширения.
трудно сказать почему не вышло html сообщение от Spora, возможно процесс шифрования не был завершен.

проверьте так же карантин установленного антивируса. что там есть,
а так же
примерно вот такие файлы:
RU58B-*****-RTXTX-****-TXHYY.HTML
RU58B-*****-RTXTX-****-TXHYY.KEY
RU58B-*****-RTXTX-****-TXHYY.LST
----------
ваш вложенный файл пока скрыл из ленты сообщений.
https://www.virustotal.com/ru/file/c6f0a6c4b0e07d61f914c96a343a03c7461c8d9235eb8aa8­841c71e953eb6938/analysis/

ESET-NOD32 Win32/Filecoder.Spora.A 20170118

вообще, файл отправлен на VT два дня назад, должен был попасть в сигнатуры.
First submission 2017-01-16 05:35:58 UTC (2 дней, 1 час назад)
+
добавьте лог журнала обнаружения угроз:
http://forum.esetnod32.ru/forum9/topic1408/

--------
расшифровка по SPora в настоящее время в антивирусных компаниях невозможна.

судя по образу, каких то следов шифрования, работы шифратора (уже) нет.

globe3 не подошел?

если сохранился источник шифратора: ссылка, или вложение из электронного сообщения - вышлите в почту [email protected]
в архиве rar, с паролем infected

Denis Afanaseyev,
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

если сохранился источник шифратора: ссылка, или вложение из электронного сообщения - вышлите в почту [email protected]
в архиве rar, с паролем infected

[QUOTE]Олег Мотков написал:
Сегодня заразился шифровальщиком. Все файлы зашифрованы в расширении "no_more_ransom"

Как узнать о возможности расшифровки?[/QUOTE]
Олег Мотков,
судя по образу, система уже очищена от шифраторов.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\ОЛЕГ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LO­ADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\ОЛЕГ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://SINDEX.BIZ/?COMPANY=3

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке системы:
расшифровки no_more_ransom на сегодня нет.

в вашем случае рекомендуем сохранить важные папки с зашифрованными документами на отдельный носитель,
и хранить в течение хотя бы года.
возможно появится расшифровка.
+
добавьте несколько зашифрованных файлов в архиве на форум.

[QUOTE]Ольга Иванова написал:
 Добрый вечер,Santy. Меня постигла та же учесть что и многих здесь-открыла письмо и поймала вирус,теперь все файлы зашифрованы и содержат расширение "no_more_ransom". Нужна помощь по расшифровке. Файл создания образа автозапуска прилагаю.
 [/QUOTE]
Ольга Иванова,
судя по образу, система уже очищена от тел шифратора

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

hide D:\OLDDISK\C\TOTALCMD\TOTALCMD.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\UPDATER

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\ORJ-SPE

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ASKPARTNERNETWORK\TOOLBAR\SHARED\CRX

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAAAAAIABCOPKPLHGAEDHBLOEEJHHANKF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://PITERAME.COM/MLQJ1E5E/YSGX53.EUK

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLAGKJOCHBKKFMCGOFJLIPNJNEAHKFJN%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\OPERATOR\LOCAL SETTINGS\APPLICATION DATA\ASKPARTNERNETWORK\TOOLBAR\UPDATER\IDC

regt 27
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке системы:
расшифровки no_more_ransom на сегодня нет.

в вашем случае рекомендуем сохранить важные папки с зашифрованными документами на отдельный носитель,
и хранить в течение хотя бы года.
возможно появится расшифровка.
+
добавьте несколько зашифрованных файлов в архиве на форум.