[QUOTE]Александр Балахнин написал:
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался  - возможно ли расшифровать файлы без оплаты ?


--------
файл шифратора удален.[/QUOTE]
детальная статья по данному шифратору от Emsisoft (с русским переводом)
http://blog.emsisoft.com/ru/2017/01/10/%d0%b2%d1%8b%d0%bc%d0%be%d0%b3%d0%b0%d1%82­%d0%b5%d0%bb%d0%b8-%d0%b8%d0%b7-%d0%b4%d0%b0%d1%80%d0%ba%d0%bd%d0%b5%d1%82%d0%b0-%d0%bd%d0%be%d0%b2%d1%8b%d0%b9-%d1%88%d0%b8%d1%84%d1%80%d0%be%d0%b2%d0%b0/

кстати, похоже анализ выполнен на основе образца из вашего сообщения.
спасибо, за предоставленный исходный файл шифратора.

[QUOTE]К настоящему моменту известен файл под названием «Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta». Файл имеет двойное расширение с целью обмануть пользователя, заставив его поверить, что это всего лишь очередной счёт в формате PDF, в то время как настоящее расширение файла – HTA.[/QUOTE]

Ринат,
активных файлов шифратора уже нет в системе.
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3D­ONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке файлов вы можете написать обращение в техподдержку [email protected] при наличие лицензии на продукт ESET
хотя с расшифровкой данных в настоящее время не поможем.

Валерий Мельничук,

если необходима помощь в очистке системы, добавьте образ автозапуска.
http://forum.esetnod32.ru/forum9/topic2687/

по расшифровке:
необходима пара файлов для проверки: один зашифрованный файл, другой - чистый оригинал.
желательно небольшие по размеру, офисные документы или файлы изображений до 1Мб

A new ransomware family made its presence felt today, named Spora, the Russian word for "spore." This new ransomware's most notable features are its solid encryption routine, ability to work offline, and a very well put together ransom payment site, which is the most sophisticated we've seen from ransomware authors as of yet.

В отличие от большинства современных вымогателей, Spora работает в автономном режиме и не генерирует никакого сетевого трафика на интернет-серверах.

текущая версия шифрует файлы с расширением:

[QUOTE].xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup[/QUOTE]

Процесс шифрования нацелен на локальные файлы и сетевые ресурсы, и не добавляет никаких дополнительных расширение файла в конце файлов, оставляя нетронутыми имена файлов.

Spora пропускает файлы, расположенные в определенных папках. По умолчанию Spora не будет шифровать файлы в папках, которые содержат следующие строки в именах:

[QUOTE]games
program files (x86)
program files
windows
[/QUOTE]
https://www.bleepingcomputer.com/news/security/spora-ransomware-works-offline-has-the-most-sophisticated-payment-site-as-of-yet/

анализ файла автозагрузки актуален и для вас. чтобы в системе не осталось активных тел шифратора.
все сообщения будут перенесены в общую тему по данному шифратору.
https://forum.esetnod32.ru/forum35/topic13782/

детальный обзор по шифратору на bleepingcomputer
https://www.bleepingcomputer.com/news/security/spora-ransomware-works-offline-has-the-most-sophisticated-payment-site-as-of-yet/

Олег,
добавьте образ автозапуска из зашифрованной системы.
скорее всего шифрование произошло на компе пользователя, а каталоги сервера были у него смонтированы как сетевые диски,
поэтому и они зашифровались.

+
добавьте в ваше сообщение несколько зашифрованных файлов в архиве.
предполагаю, что у вас поработал новый шифратор spora.

Асхат Алимбаев,
если шифрование было после 10ноября 2015 года, то расшифровка есть только у мошенников, которые теперь закрыли свой проект, и ключи вводу,
и возможно через время мимикрируют под другой проект.

[QUOTE]el p написал:
 santy ,[/QUOTE]
[B]el p,[/B]
по расшифровке ваших файлов (1txt) для получения ключа обращайтесь в [email protected]
при наличие лицензии на антивирус ESET.
приготовьте несколько зашифрованных файлов в архиве, файл E_N_I_G_M_A.RSA,
а так же лог ESETlogcollector,
создаваемый в системе с зашифрованными файлами этой утилитой:
https://download.eset.com/special/logcollector/ESETLogCollector_rus.exe

Евгений Ехлаков,
добавьте образ автозапуска для проверки вашей системы.
возможно в системе еще есть файлы шифратора.

http://forum.esetnod32.ru/forum9/topic2687/