еще один вариант encoder.741 с "слегка припудренным носиком".
*[email protected]

судя по банеру - вариант Encoder.741, "слегка припудрили носик"


поменяли текст, почту.
архивное тело уже недоступно, чтобы проверить на Virustotal, кем оно детектируется на сейчас. если есть возможность - проверьте наличие тела в карантине сканера.
(черви-шифраторы в локальной сети, это уж слишком, хотя механизм размножения шифраторов через почту юзера (отправлялось тело вируса по контактам зараженного пользователя) был использован в бат-энкодере (*[email protected]))

Вячеслав Ефимов,
вышлите в почту [email protected] файл из вложения в архиве с паролем infected

можно ссылку дать на тему этого форума, в support да, обычным письмом. в [email protected]
когда получите номер обращения, можно так же и позвонить, уточнить по возможности расшифровки данного вида шифратора.
-------
к сожалению, мы сейчас уже  перешли в другую реальность.
когда защитить и сохранить данные только средствами антивируса не представляется возможным.
нужны так же и другие механизмы защиты:
а именно:
1.резервное копирование данных.
2. настройка локальных политик ограничения запуска программ.
-----------
без этих инструментов вы будете постоянно подвергать опасности данные вашей компании.

кстати, в некоторых компаниях уже это практикуется,
когда один админ работает по антивирусной безопасности, другой - по резервному копированию и локальных политикам безопасности.

образ чистый. по расшифровке обращайтесь в [email protected]
есть у них расшифровка для данного типа шифраторов или нет.

и не забываем о копиях данных.
файловый сервер без резервного копирования данных, это все равно что башни Близнецы (Всемирного торгового центра) в Нью-Йорке.

Alexey Veselov, спасибо,
теперь ESET детектирует  этот троян, как
ESET-NOD32     Win32/Filecoder.NAM
https://www.virustotal.com/ru/file/497e19d71b843b686c67e858a5c0107b7d78b799e8f8d7e0­64aa481e8e01dc7e/...

судя по банеру, по наименованию зашифрованного файла, по имени шифратора в автозапуске, это вариант шифратора Encoder.741 (из серии *[email protected], *[email protected]  и др.)

1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

*[email protected]

тело шифратора копируется после запуска в папку автозапуска
C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\СУДЕБНАЯ ПОВЕСТКА ПО ГРАЖДАНСКОМУ ДЕЛУ №18244.EXE
ссылка: C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА
пример зашифрованного файла:
[email protected]

скорее всего из серии: *[email protected], *[email protected] , т.е. encoder.741

по результатам ВирусТотал:
Дата анализа:     2015-02-03 11:00:59 UTC (4 часов, 3 минут назад)
DrWeb          ok 20150203
Kaspersky     UDS:DangerousObject.Multi.Generic
ESET-NOD32  ok       20150203
новый рескан:
https://www.virustotal.com/ru/file/497e19d71b843b686c67e858a5c0107b7d78b799e8f8d7e0­64aa481e8e01dc7e/...

DrWeb     Trojan.DownLoader12.17448
Kaspersky     UDS:DangerousObject.Multi.Generic
ESET-NOD32         ок 20150203  

Alexey Veselov, тело шифратора отправьте в [email protected] + несколько зашифрованных файлов. на форум не надо выкладывать вирусы, только по ссылке на файлообменник в архиве, и с паролем.

заставки не было видимо потому что процесс шифрования не завершился.
1. если количество компьютеров в организации небольшое, так сделайте образы автозапуска на машинах, возможно найдем тело шифратора.
http://forum.esetnod32.ru/forum9/topic2687/

2. можно поискать по сети текстовый файл с подтекстом [email protected]