[QUOTE]Dmitry Pr написал:
[QUOTE] santy написал:
infected[/QUOTE]отправил еще раз[/QUOTE]
ок, получил.
ESET должен детектировать:
11.08.2016 16:49:29 Защита в режиме реального времени файл D:\резюме Сергей Коробов.exe модифицированный Generik.FMXNHZQ троянская программа очищен удалением ***\*** [QUOTE]Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Total Commander\TOTALCMD.EXE (3418116509212343032594B96AB2F37586E2AE06). 66D1D030C93AD09B3D78F091E69353DC2129ECF1[/QUOTE]

[QUOTE]Dmitry Pr написал:
Письмо есть, выслал.[/QUOTE]
продублируйте письмо в почту [email protected] в архиве с паролем infected

да, шифрует в CL 1.3.1.0
отправлен в техподдержку [email protected]

[QUOTE]Алексей Попов написал:
[QUOTE] santy написал:
Алексей,
добавьте образ автозапуска системы где было шифрование.
 [URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL] [/QUOTE]Сделал файл с образом автозапуска.

Письмо с вредоносным вложением удалось найти. Как лучше передать?[/QUOTE]
https://www.virustotal.com/ru/file/b4e3a4861cb788894b5f48a674985ca487cdec1b64717090­e9151066087376b8/analysis/1470906375/
да, пока мало кто детектирует.

[QUOTE]Dmitry Pr написал:
Добрый день.
Аналогичная ситуация
ВНИМАНИЕ!
Все Ваши офисные файлы, архивы, видео и прочие документы были зашифрованы криптостойким алгоритмом, который не поддаётся расшифровке со стороны антивирусных компаний.
Для того, чтобы восстановить файлы, Вам необходимо связаться с нами по почте, указанной ниже.
На это у Вас есть 72 ЧАСА, по истечению данного срока все файлы начнут постепенно уничтожаться БЕЗ ВОЗМОЖНОСТИ ВОССТАНОВЛЕНИЯ!
[URL=mailto:[email protected]][email protected][/URL]
[URL=mailto:[email protected]][email protected][/URL]


[URL=http://muonium.rgho.st/8jJjLVHM2]http://muonium.rgho.st/8jJjLVHM2[/URL] ссылка на автозагрузку[/QUOTE]
судя по образу в системе уже нет тел шифратора.
если сохранилось вредоносное письмо, откуда был запущен шифратор, вышлите в почтуу [email protected]
в архиве, с паролем infected

[QUOTE]Руслан Талипов написал:
Добрый день!
Аналогичная ситуация.
Самого письма нет.
Exe файл прописался в автозагрузку (крыжик снят). Сам файл, к сожалению уже удален. Был по пути PF\WinRar\резюме Сергей Коробов.exe
Ссылку на образ прилагаю:  [URL=http://fracton.rgho.st/67gKVFJvf]http://fracton.rgho.st/67gKVFJvf[/URL] [/QUOTE]


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\PROGRAMDATA\ASKPARTNERNETWORK\TOOLBAR\BTR-V7\CRX

delref HTTP://GO.MICROSOFT.COM/FWLINK/?LINKID=56626&HOMEPAGE=HTTP://START.TICNO.COM?KEY=64911FC1-D27E-4A4B-A990-A227CBB58A41

deldirex %SystemDrive%\USERS\LUKYANENKO\APPDATA\LOCALLOW\UNITY\WEBPLA­YER\LOADER

delref HTTP://START.TICNO.COM?KEY=64911FC1-D27E-4A4B-A990-A227CBB58A41

delref HTTP:\\HOME.WEBALTA.RU\?START&S=CCC34B04

; Ticno multibar
exec  C:\Program Files (x86)\Ticno\Multibar\uninstall.exe
; Ticno Tabs
exec  C:\Program Files (x86)\Ticno\Tabs\Uninstall.exe
; Ticno Indexator
exec  C:\Program Files (x86)\Ticno\Indexator\Uninstall.exe

deldirex %SystemDrive%\PROGRAM FILES (X86)\TICNO\TABS

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

Алексей,
судя по образу система уже очищена от шифратора.
письмо вышлите в почту [email protected]
лучше в архиве с паролем infected

Алексей,
добавьте образ автозапуска системы где было шифрование.
http://forum.esetnod32.ru/forum9/topic2687/

Виктор,
по расшифровке документов обращайтесь в техподдержку [email protected] при наличие лицензии на антивирус ESET

ну значит надо ждать следующее письмо.
Интерес к рассылкам для кадровиков есть в связи с этим:
http://www.bleepingcomputer.com/news/security/petya-and-mischa-ransomware-affiliate-system-publicly-released/