обратитесь в техподдержку антивируса, который установлен на зашифрованной машине.

Александр,
добавьте образ автозапуска, по ссылке из моей подписи
+
добавьте несколько зашифрованных файлов

Роман,
так же реально, как и xtbl и breaking_bad

Алексей,
судя по образу все чисто

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

офисный документ, содержащий макросы детектируется как
https://www.virustotal.com/ru/file/b7ecc1539a1683399e3a3f671a7b74679127eb8a51bcc722­27bfbb12dd7415ac/analysis/

файл шифратора.

Полное имя                  C:\DOCUMENTS AND SETTINGS\****\LOCAL SETTINGS\TEMP\EIASUS.EXE
Имя файла                   EIASUS.EXE
Тек. статус                 АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 2768                  VM-XP\****
CmdLine                     "C:\Documents and Settings\****\Local Settings\Temp\eiasus.exe"
Процесс создан              21:40:30 [2016.02.18]
С момента создания          00:00:40
parentid = 2688             C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE
SHA1                        686CDFEF4458B28B5FE37EA421886FBAF2FC9DA6
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUMENTS AND SETTINGS\****\LOCAL SETTINGS\TEMP\EIASUS.EXE
------------------
шифратор после завершения шифрования самоудаляется,
и прописывает копию в автозапуск

Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Locky
Locky                       C:\DOCUME~1\****\LOCALS~1\Temp\svchost.exe
                           
Образы                      EXE и DLL
SVCHOST.EXE                 C:\DOCUMENTS AND SETTINGS\****\LOCAL SETTINGS\TEMP

да, можно.
можно использовать winpe&uVS
http://chklst.ru/forum/discussion/61/winpeuvs

добавьте образ автозапуска
как создать образ автозапуска, смотрите в подписи

вначале надо очистить систему, поскольку судя по образу шифратор у вас в автозапуске

[QUOTE]Полное имя C:\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE
Имя файла                   EIASUS.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
FILE.PROTECT (SKIP)         (ФАЙЛ ~ ВОЗМОЖНО ЗАЩИЩЕННЫЙ ФАЙЛ)(1) [skip (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс                     32-х битный
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
Файл                        Возможно защищенный файл
                           
Доп. информация             на момент обновления списка
pid = 4508                  Pasha-PC\Pasha
CmdLine                     "C:\Users\Pasha\AppData\Local\Temp\eiasus.exe"
Процесс создан              10:04:41 [2016.02.18]
С момента создания          02:41:31
parentid = 2132             C:\WINDOWS\EXPLORER.EXE
CLOSE_WAIT                  192.168.1.9:63394 <-> 195.154.241.208:80
CLOSE_WAIT                  192.168.1.9:63540 <-> 46.4.239.76:80
CLOSE_WAIT                  192.168.1.9:63674 <-> 85.25.149.246:80
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-3527718930-2974141823-127104087-1000\Software\Microsoft\Windows\CurrentVersion\Run\Locky
Locky                       C:\Users\Pasha\AppData\Local\Temp\eiasus.exe[/QUOTE]

+
вышлите вложение письма, но только добавьте его в архиве с паролем infected

по расшифровке, скорее всего решения нет.  Как только будет решение по данному шифратору, напишем на форуме.
рекомендую очистить систему, сохранить зашифрованные копии документов, и продолжать работу,
но уже с большим вниманием в электронным сообщениям.

поскольку вектор атак периодически меняется.
будьте внимательны с офисными документами из вложений электронной почты, которые при открытии просят вас разрешить запуск макросов.
это крайне подозрительная просьба. предупредите сотрудников, чтобы такие документы закрывали и удаляли.

-------------
надо сказать, что в данном случае более правдоподобная легенда,
файл сразу определяется как офисный документ с макросами,
поэтому логично выглядит предупреждение, о том что необходимо разрешить запуск макросов.

Павел,
имейте ввиду, что Locky может шифрануть еще и сетевые папки, которые не подключены как диски, в общем все шары, которые найдет в сети.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\PASHA\DOWNLOADS\7Z922.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C2­51B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D4FC10­8506CA7A 64 Trojan.BPlug.1064 [DrWeb]

zoo %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE
delall %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE

hide %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2014\УДАЛИТЬ ADOBE PHOTOSHOP CC 2014.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\PROGRAM FILES (X86)\YTDOWNLOADER\YTDOWNLOADER.EXE

delref %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\АНТОН\APPDATA\ROAMING\VOPACKAGE

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected]  
------------

Виктор,
шифратора уже не в автозапуске

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL

delref %SystemDrive%\USERS\САМУСЕНКОВЫ\APPDATA\LOCAL\APWORKS\DVKIT.DLL

delref %SystemDrive%\USERS\САМУСЕНКОВЫ\APPDATA\LOCAL\ODICS\DVKIT.DLL

del D:\BETHESDA.NET_LAUNCHER.BAT

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET