[B]по расшифровке файлов с расширением cripttt (Filecoder.NDO) обращайтесь в техподдержку [URL=mailto:[email protected]][email protected][/URL] при наличие лицензии на антивирус ESET[/B]

если ставил антивирус кто-то другой, то уточните у него пароль к вашей лицензии.

No Name,
пробуйте обновить ESS до актуальной версии 9

Teslacrypt обновился до 4.1b
[URL=http://www.bleepingcomputer.com/news/security/teslacrypt-4-1b-released-with-few-modifications/]http://www.bleepingcomputer.com/news/security/teslacrypt-4-1b-released-with-few-modifications/[/URL]
детальная информация по теслакрипт
[URL=https://www.endgame.com/blog/your-package-has-been-successfully-encrypted-teslacrypt-41a-and-malware-attack-chain]https://www.endgame.com/blog/your-package-has-been-successfully-encrypted-teslacrypt-41a-and-malware...[/URL]

Интересно, что только Microsoft определил в MBR на зашифрованной Petja Ransomware системе вредоносный код:

[URL=https://www.virustotal.com/ru/file/cdcc95616faee15d2eab02837a6050b0dc3790219edeaa87fee40f805b86522a/analysis/1461145205/]https://www.virustotal.com/ru/file/cdcc95616faee15d2eab02837a6050b0dc3790219edeaa87fee40f805b86522a/...[/URL]

Дмитрий Колесников,
купите хотя бы одну лицензию Криптопревент, установите ее на одну машину. создайте (автоматически) в ней локальные политики  по ограничению запуска нежелательных исполняемых программ. Экспортируйте ключ safer в регфайл, и затем просто добавьте этот ключ в реестр на все проблемные машины.
больше будет пользы, чем регулярные настройки сознания, которые быстро сбиваются.
хотя одно другому не будет мешать, но безопасности станет больше.

Евгений,
судя по логу выполнения скрипта, тело шифратора было удалено.[QUOTE]--------------------------------------------------------
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
C:\PROGRAMDATA\WINDOWS\CSRSS.EXE [Не удается найти указанный файл. ]
\\?\D:\USERS\JK\DESKTOP\UVS_V387\ZOO\CSRSS.EXE.---
Не удалось скопировать файл [Не удается найти указанный файл. ]
--------------------------------------------------------[/QUOTE]

Александр,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\SOSITION\SSTRPRSRV.EXE
addsgn 1AC4209A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D­3D6827921123415A2B0D0F888B2563D6D9BE7DDE9B7FDE9694207AFCD80B­CFF58898 8 Huixin Zhao

addsgn 1A78EC9A5583338CF42BFB3A889E99702D0F0A829A714A740011B1B0DB9B­61C9EA62DA64FE33144FC375B79F467C5FA4F4EF00F170DAB0A7EB29F9EC­908DDC58 8 Adware.Mutabaha.1167 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\HOHOBND\GHABUK.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.HOHOSEARCH.COM/?TS=AHEQA3YKBHEPAK..&V=20160415&UID=E9BD9414EB3C24590F3CBFCE0A73A17D&PTID=...
delref {6E727987-C8EA-44DA-8749-310C0FBE3C3E}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHB...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANE...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHG...

delref %Sys32%\DRIVERS\QRNFD_1_10_0_8.SYS
del %Sys32%\DRIVERS\QRNFD_1_10_0_8.SYS

delref %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU
del %SystemDrive%\LAUNCHER.BAT

delref HTTP:\\WWW.HOHOSEARCH.COM\?TS=AHEQA3YKBHEPAK..&V=20160415&UID=E9BD9414EB3C24590F3CBFCE0A73A17D&PTID=OPT&MO­D...
del %SystemDrive%\IEXPLORE.BAT

delref HTTP:\\SEARCH-HOP.RU
del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT

del %SystemDrive%\FIREFOX.BAT

regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [URL=mailto:[email protected]][email protected][/URL] при наличие лицензии на антивирус ESET

новый образ не нужен,
добавьте лог выполнения скрипта.
это файл дата_времяlog.txt из папки, откуда вы запускали uVS

Евгений,
смотрите по дате шифрования. в этом случае можно предположить что письмо было запущено сотрудником именно в этот  день, или на следующий.
такое письмо содержит вложенный архив, внутри которого содержится js
(иногда вкладывают js и без архива)
текст письма как правило акцентирует сотрудника на задолженности его компании за что -либо, которую надо срочно погасить.