Евгений,
выполните очистку системы, тело шифратора до сих пор в автозапуске


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1A966A9A5583348CF42B254E32A2136D011AB2F6020BF7359BC3C57B569E­350E239C0509FD929C016FC28476F40849FAF620BDF9B98C3BDDEA71EC6B­8506CAEC 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGFIMGICDOMB...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKBEHDIBCCC...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...

delref %SystemDrive%\USERS\JK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GFIMGICDOMBNIJNJGPCKDJHNJMAAPAFJ\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\JK\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\JK\APPDATA\LOCAL\KOMETA\PANEL

deltmp
delnfr
;-------------------------------------------------------------

restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [URL=mailto:[email protected]][email protected][/URL] при наличие лицензии на антивирус ESET

нет расшифровки по better_call_saul
--------
если нужна помощь в очистке системы, добавьте образ автозапуска системы

[QUOTE]Роман написал:
[QUOTE] santy написал:
Ваши документы, для работы по контракту.  [/QUOTE]
Было дело. При этом пользователю пришло на все его почтовые ящики (корпоративную, яндекс, майл и т.д.)
В письме написано "Ваши документы для работы по контракту", а внутри архива "Жалоба на погашение долга. Ознакомьтесь". Вчера пришло, ещё не детектируется.[/QUOTE]
отправил файл в техподдержку сегодня.
детекта действительно нет, ни по js, ни по свежему телу шифратора.

C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
2016-04-15 [2016-04-15 04:15:28 UTC (2 часов, 30 минут назад)]
Файл был чист на момент проверки.

новая рассылка js во вложенных архивах. загружается шифратор better_call_saul
[QUOTE]Ваши документы, для работы по контракту. [/QUOTE]
[URL=https://www.virustotal.com/ru/file/f283742059a28447dba55a74000e768668cd636417d7e08f777a7153e99e12b0/analysis/1460694831/]https://www.virustotal.com/ru/file/f283742059a28447dba55a74000e768668cd636417d7e08f777a7153e99e12b0/...[/URL]

новая рассылка от
[URL=mailto:[email protected]][email protected][/URL]
в архивном вложении js
[COLOR=#000000][SIZE=13px][QUOTE]Уважаемый(ая)
 
Это уведомление  биллинг  FastVPS, сплочено с тем , что Ваш  счет номер  3421350062, созданный 07/04/2016  получил статус просроченного.
 
Если номер счета относитсяк   главной предложению (VPS компьютер,  выделенный сервер):
 
- В случае если Вы никак не собираетесь использовать это предложение -  пожалуйста, напишите нам запрос на ее отключение и подтвердите , что Вы забрали все необходимые данные.
- Если у Вас возникли сложности с оплатой -  пожалуйста, свяжитесь с нами посредством  тикет-концепцию и, (по возможности, мы  продолжим дату оплаты условно на срок до 5  суток.
- В случае если Вы хотите продлитьприменение сервера , но  нет возможности оплатить госномерне отвечаете на  номер и недоступны по контактному телефону, Ваш сервер  будет арестован вместе со всей информацией в течение  текущего дня!
[COLOR=#ff0000]Пожалуйста, срочно свяжитесь с нами в случае возникших ошибок с оплатой![/COLOR]
 
Ваш способ оплаты:
 
Счет: 0980707686
Сумма: 134.99EUR
Дата оплаты: 12/04/2016
 
Вы можете посмотреть данные  здесь
C уважением, FastVPS Eesti OU
Sincerely, FastVPS Eesti OU[/QUOTE]
[/SIZE][/COLOR]

шифратор все еще в автозапуске

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 1AFD729A55837A8FF42B624E41D07345250103A30216E93D8DC19237A9A2­541A4BE1F0173ED8EAB5D4B6EE9311FE91FF7DDF1E375DDBC42B7B9F0FD3­38F97BF8 8 Ransom.Shade.better_call_saul

;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref %Sys32%\DRIVERS\{55DCE8BA-9DEC-4013-937E-ADBF9317D990}GW64.SYS

delref %Sys32%\DRIVERS\{55DCE8BA-9DEC-4013-937E-ADBF9317D990}W64.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER\BIN

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJ...

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [URL=mailto:[email protected]][email protected][/URL] при наличие лицензии на антивирус ESET

я уже написал, что интересует в первую очередь по данному шифратору. исходный файл или письмо, адрес, откуда был запущен шифратор.

да, пока не от чего оттолкнуться.
нужен исходный файл, с которого был запущен процесс шифрования, чтобы проверить всю цепочку от начала и конца шифрования.

Кстати, по  [URL=mailto:[email protected]][email protected][/URL] пробуйте обращаться в техподдержку [URL=mailto:[email protected]][email protected][/URL], я расшифровал свои тестовые документы.
при наличие лицензии на продукт ESET, думаю, решение по расшифровке документов возможно.

Николай, по опыту тестирования Ransom.Shade/xtbl/b_b/b_c_s наблюдал, что шифрование действительно не сразу выполняется после запуска тела шифратора.
возможно какое то время идет обмен с сервером, и только после получения ключей запускается шифрование.