да, скиньте карантин avz, несколько файлов с расширением gpg, сделайте образ автозапуска системы (ссылка в моей подписи),
+ проверьте почту менеджеров, которые работали за компов, в том числе и удаленные сообщения, возможно что-то запустили из почты.
(сами они скорее всего не признаются, точнее признаются если им показать, то что они запускали.)

gpg.exe - это скорее всего легальная утилитка от gnuPG, которая и была использована для шифрования.
В этом случае можно попытаться найти pub &sec key, которые создаются в начале шифрования.
С помощью второго можно расшифровать файлы.

похоже GnuPG используют при шифровании.

# off=0 ctb=84 tag=1 hlen=2 plen=140
:pubkey enc packet: version 3, algo 1, keyid 3DEC2AC53ADBF810
   data: [1023 bits]
# off=142 ctb=d2 tag=18 hlen=2 plen=0 partial new-ctb
:encrypted data packet:
   length: unknown
   mdc_method: 2

File: X:\active\shifr\исследовать\730\virus\v1.2.3_NewInConfig_ru.htm.id-{815F73E7}_repairfiles365@gmail_com
-----------
откуда словили? если есть вложение из электронной почты, перешлите в почту [URL=mailto:[email protected]][email protected][/URL] можно в архиве с паролем infected

Olga Glazunova,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...

delref %SystemDrive%\USERS\GASCONTROL05\APPDATA\LOCAL\GOOGLE\CHROME­\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.6.0_0\СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------

с расшифровкой не поможем.

свежая рассылка шифратора better_call_saul
адресат: *ИнтерИнвестКом*, *ИнвестФорм*,
[QUOTE]У Вас появилась задолженность в размере 49773 рублей.
Просим принять меры.
Квитанция по номеру 1288334 в файле.[/QUOTE]
во вложении js упакован в несколько вложенных архивов.
пока почти никто не детектирует
[URL=https://www.virustotal.com/ru/file/7c22828ed2a99afc741fe708b2ed8eba725906891094221cc011a0280d464df0/analysis/1460432852/]https://www.virustotal.com/ru/file/7c22828ed2a99afc741fe708b2ed8eba725906891094221cc011a0280d464df0/...[/URL]

кстати, исполняемый файл шифратора csrss.exe тоже без детекта.

Полное имя                  C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
Имя файла                   CSRSS.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
[URL=http://www.virustotal.com]www.virustotal.com[/URL] 2016-04-12 [2016-04-11 22:03:59 UTC (7 часов, 7 минут назад)]
Kaspersky                   UDS:DangerousObject.Multi.Generic
Symantec                    Suspicious.Cloud.7.F
                           
Удовлетворяет критериям    
RUN.LIST                    (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (1)]
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
SHIFR.LIST                  (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     570BFB811D5000
Linker                      9.0
Размер                      887296 байт
Создан                      12.04.2016 в 11:27:33
Изменен                     12.04.2016 в 11:27:33
                           
TimeStamp                   11.04.2016 в 19:31:13
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                           
Оригинальное имя            Repeatable.exe
Версия продукта             6.4.2.3
Описание                    Spends Displaywhile Jurisdiction
Продукт                     Repeatable
Copyright                   2015 Company  Skype Technologies S.A.
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
SHA1                        D8870F6DEED2246BA418BBD7ACA38DF676349894
MD5                         795369F045D3DEFEBCAADB4CF6FBF487
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
Client Server Runtime Subsystem"C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"
                         

[QUOTE]Максим Рябинин написал:
После выполнения рекомендованных действий файлы так и остались с расширением better_call_saul. Процесс csrss.exe также присутствует в диспетчере задач[/QUOTE]
csrss.exe - это системный и легальный процесс, если запущен из system32. обратите внимание на полный путь этого файла.
Расшифровка файлов - это отдельный процесс. Скрипт выполняет только очистку системы от вредоносных файлов.

проблема с авторизацией на форуме становится хронической, аккурат под выходные дни.

насколько я знаю, решения с расшифровкой по better_call_saul нет у вирлабов.
есть решение у прокладочных сервисов, которые выкупают ключи для пострадавших у мошенников, и предлагают его как свое решение по расшифровке, но дорого.

работает или нет данный шифратор вы можете увидеть по наличию зашифрованных файлов  на дисках :)
по наличию в памяти вот такого процесса csrss.exe, запущенного от имени учетной записи пользователя.
по наличию в автозапуске такой записи:
HKEY_USERS\S-1-5-21-1993962763-1390067357-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
%SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
"C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"

но алгоритм может быть такой.
запуститься и шифровать может файл с любым именем, и висеть в памяти, но свою копию он создает в виде CSRSS.EXE
и прописывает ее в автозапуск, на тот случай если будет перезагрузка, и шифрование еще не завершилось.

тело шифратора запускаться может либо из внедренного в офисный документ объекта,
либо скачиваться из сети после запуска js. js как правило прилетает из почты в архивном вложении.
----------
если нужно проверить компы, зайдите в тему обнаружение вредоносного кода
https://forum.esetnod32.ru/forum6/

[QUOTE]Стас Корниенков написал:
Добрый день. Можете еще вот этот глянуть ? =([/QUOTE]
здесь по очистке выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref OZGBLWF.C

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\GULYA\APPDATA\LOCAL\YANDEX\UPDATER\PRAET­ORIAN.EXE

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.

следов шифратора нет.

[QUOTE]Игорь Кузаков написал:
Здесь нам помогают, ответ для всех один, пришлите образ, сделайте скрипт, на расшифровку присылайте файлы. У меня вопрос: Кто-то присылал уже файлы, помогли ли с расшифровкой, если да, то - платно  это было или нет, сколько времени заняло и какое было количество файлов.[/QUOTE]
в техподдержке вам точно могут ответить есть расшифровка по данному шифратору или нет.
если вы не лицензионный пользователь ESET, то можете не беспокоиться по этому поводу.
(покупать лицензию только ради того, чтобы расшифровать файлы не стоит. Стоит прост задуматься о том почему вы попали под шифратор, и что можно сделать на будущее, чтобы избежать потери ваших данных.)
На форуме расшифровки по данному шифратору у нас нет.

судя по тому, как захламлены системы у некоторых пользователей здесь, неудивительно, что они еще и шифраторы получают в придачу.