чистых (оригинальных) копий тех документов, которые были зашифрованы.
(возможно сохранились архивные копии)

Игорь Березка,

добавьте несколько чистых копий и соответственно зашифрованных файлов
+
добавьте образ автозапуска системы

Дмитрий Леонтьев,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\WEBBARS\TOOLBAR32.DLL
addsgn 79132211B9E9317E0AA1AB5951B61205DAFFF47DC4EA942D892B2942AF29­2811E11BC3DCC10016A5A86CA414031E1FAD17D7B1CCD111B23CA00A44DC­628F678B 64 Win32/Toolbar.Neobar

zoo %SystemDrive%\PROGRAM FILES\WEBBARS\BACKGROUNDSINGLETON.EXE
addsgn 1AF3F09A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7BAC9A91­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 Win32/Toolbar.Neobar

;------------------------autoscript---------------------------

chklst
delvir

regt 27
; WebBars
exec C:\Program Files\WebBars\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по ВАУЛТ нет.
если зашифрованы важные файлы, сохраните, возможно в будущем будут в доступе приватные ключи для расшифровки.
это уже будет зависеть от самих разработчиков шифровируса.
от их доброй или злой воли.

даже если архив скачивается из сети, то все равно при запуске исполняемого из архива, архиватор распакует файл в %temp% юзера.
другое дело, что некоторые легальные инсталляторы (firefox, thunderbird, например,) так же распаковывают свои пакеты в %temp% юзера,
поэтому в данном случае правило временно придется отключить.
конечно, настойчивые пользователи попытаются распаковать архив на рабочий стол, и с него запустить "офисный документ".
или переслать сообщение коллеге, чтобы посмотрел документ.
+
посмотрите программу Cryptoprevent, они используют расширенный список правил для блокирования запуска троянов и шифраторов.
текущая бесплатная 7.4.21
http://chklst.ru/discussion/1483/cryptoprevent#latest

большинство архиваторов распаковывает файл из архива в %TEMP% юзера. поэтому если запрещаете выполнение исполняемого по соответствующему пути, то исполняемый после распаковки из архива просто не запустится.
вот для XP например.
%userprofile%\Local Settings\Temp\7z*\*.exe
это правило будет блокировать запуск соответственно *.exe из архивного вложения 7z

[QUOTE]Cавва Степанов написал:
[URL=mailto:[email protected]][email protected][/URL]
по такому занимаетесь?[/QUOTE]

похоже на Filecoder.DG
.id-\d{10}_%EmailAddress%
если необходима расшифровка, напишите в [email protected]

по очистке системы выполнит данный скрипт

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
delall %SystemDrive%\USERS\BIVNITSKIY\APPDATA\ROAMING\MICROSOFT\WIN­DOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
----------

Вячеслав Третьяков,
имеет смысл через локальные политики запретить запуск исполняемых файлов из архивных вложений

восстановить зашифрованные данные уже не получится,
если необходима помощь в очистке системы, добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[QUOTE]Cавва Степанов написал:
[QUOTE] santy написал:
судя по файликам: codec.exe/service.exe - это ближе к версии CL 1.3.0.0[/QUOTE]Значит, это не есть хорошо?[/QUOTE]
по расшифровке файлов напишите в [email protected] при наличие лицензии на антивирус ESET

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\SERVICE.EXE
addsgn 1A9C759A5583CC8CF42BFB3A8843570D7301B4CA8A3210CFC4D748ED48D5­A1439456C53CCE7D9EBB1056F086CD5B45C137D39A78DE98B82F6F7B9FE7­B50AA1B1 8 [email protected]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\CODEC.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJKFBLCBJFOJMGAGIKHLDEPPGMGDPJKPL%26INSTALLSOURCE%3D­ONDEMAND%26UC

regt 2
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_*-*-*_*-*-*.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
----------
судя по файликам: codec.exe/service.exe - это ближе к версии CL 1.3.0.0