Николай,
1. добавьте несколько зашифрованных файлов в архиве в ваше сообщение.
2. судя по образу система уже очищена от тел шифратора.
3. по расшифровке решения нет.
сохраните все важные зашифрованные файлы на отдельный носитель до лучших времен. возможно они когда нибудь наступят.

да, этот тип шифратора шифрует все без разбору, в том числе и Program Files, часть программ придется переустановить для нормальной работы.

пробуйте использовать эту программу, чтобы удалить все найденные записки о выкупе.
https://download.bleepingcomputer.com/demonslay335/RansomNoteCleaner.zip
(если антивир будет реагировать на эту программу, то временно отключите его.)

из указанных в списке типов можно оставить только CrySis.
после завершения поиска, просмотрите найденный список, и там есть возможность удалить найденные записки.

Сергей Дидык,
ваш шифратор: CrySis:{[email protected]}.XTBL

выполните скрипт в uVS из[B] безопасного режима системы.[/B]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn A7679B1BB9EA4F720B87F876E194EFFADA8AFCF6893D9A607A3C3ABC50D6­718BA6933FA8C1559D492B68A6BA4616A12770DFE88D40E2306C2DFE2137­38F9DDF0 8 Win32/Filecoder.Crysis.D [ESET-NOD32]

zoo %SystemDrive%\USERS\АНЯ\APPDATA\ROAMING\[email protected]
zoo %SystemDrive%\USERS\АНЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\ST­ART MENU\PROGRAMS\STARTUP\[email protected]
zoo %SystemDrive%\USERS\АНЯ\DESKTOP\[email protected]
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\АНЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\ST­ART MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\1CS08\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\[email protected]

setdns Local\4\{78EC1441-18B6-461D-9AE0-AD90EAA13220}\8.8.8.8,8.8.4.4
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %Sys32%\[email protected]

delref %SystemDrive%\USERS\АНЯ\DESKTOP\SYSTEM\SYSTEM\START.VBS

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту [email protected]
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

пробуйте из безопасного режима создать образ автозапуска

Сергей Дидык,
добавьте образ автозапуска (см. инструкцию в моей подписи)+
добавьте несколько зашифрованных файлов в отдельном архиве

не хватает опции kурантина :)

сегодня в рассылке VAULT (js в архиве zip):
[QUOTE]Счет на поставки нашей продукции оформили пока без доставки. Если отправлять будем нашей транспортной, то это выйдет по времени очень долго, в принципе, Вы можете выбрать более выгодные условия... У нас есть несколько вариантов с которыми мы постоянно сотрудничаем (естественно будет скидка). Что скажите??
[/QUOTE]
и
[QUOTE]Так и мы про это же.. Поэтому, скан-копия и необходима для возврата всей документации))):)) чтобы мы друг-друга не задерживали, хочется все-таки порешать оставшиеся вопросы до конца недели...
[/QUOTE]

Ivan22,
сохраните записку о выкупе, файл keyvalue.bin, архивы с важными файлами на отдельный носитель.
остальное можно удалять, поскольку ждать возможно придется долго,
пока не всплывут где-то приватные мастер-ключи. или сами авторы unlock92 не предоставят их по каким то своим мотивам.

сегодня в рассылке был LOcky. js (Nemucod) а архиве office_equipment*.zip
https://www.virustotal.com/ru/file/fad014cb2f10fe3a97ef393adb709dd66ba88451dd090a1a­a307dbf6729f87d4/analysis/1472222000/

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\СОМАДЕНКО\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\СОМАДЕНКО\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\ЗЕЛИНСКАЯ\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\ЗЕЛИНСКАЯ\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\SHPYLCHUK\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\SHPYLCHUK\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\ADRA\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\ADRA\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\REPINA\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\REPINA\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\МАКСИМ\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\МАКСИМ\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\MARINA\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\MARINA\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\ИРИНА ВИКТОРОВНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\ИРИНА ВИКТОРОВНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\HOTSPOT\APPDATA\ROAMING\MICROSOFT\WINDOW­S\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\HOTSPOT\APPDATA\ROAMING\MICROSOFT\WINDOW­S\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\ДУМУШИ\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\ДУМУШИ\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\ЧЕРНИГОВ\APPDATA\ROAMING\MICROSOFT\WINDO­WS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\ЧЕРНИГОВ\APPDATA\ROAMING\MICROSOFT\WINDO­WS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\ИЛЬИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\ИЛЬИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\ТАТАРИНА\APPDATA\ROAMING\MICROSOFT\WINDO­WS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\ТАТАРИНА\APPDATA\ROAMING\MICROSOFT\WINDO­WS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\ДУМУЩИ\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\ДУМУЩИ\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\КИСЕЛЕВА\APPDATA\ROAMING\MICROSOFT\WINDO­WS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\КИСЕЛЕВА\APPDATA\ROAMING\MICROSOFT\WINDO­WS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\ЖОЛУДЕВА\APPDATA\ROAMING\MICROSOFT\WINDO­WS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\ЖОЛУДЕВА\APPDATA\ROAMING\MICROSOFT\WINDO­WS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\AMPRO\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\AMPRO\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\КОРЧУК\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\КОРЧУК\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\СОЛОДКАЯ\APPDATA\ROAMING\MICROSOFT\WINDO­WS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\СОЛОДКАЯ\APPDATA\ROAMING\MICROSOFT\WINDO­WS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\ГЕРАСИМОВА\APPDATA\ROAMING\MICROSOFT\WIN­DOWS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\ГЕРАСИМОВА\APPDATA\ROAMING\MICROSOFT\WIN­DOWS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\ИВАШКО АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\ИВАШКО АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\JULIANA\APPDATA\ROAMING\MICROSOFT\WINDOW­S\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\JULIANA\APPDATA\ROAMING\MICROSOFT\WINDOW­S\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\USERS\LIUBOV\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\LIUBOV\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\[email protected]

deldirex %SystemDrive%\PROGRAM FILES (X86)\CINEMAPLUS-3.3C

delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %Sys32%\PAYLOAD134.EXE
del %Sys32%\PAYLOAD134.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------