[B]Валентин,[/B]
к сожалению, в теме шифраторов приходят уже с очищенной системой, по крайней мере с удаленными шифраторами.
очищать некоторые из них следуют, потому что шифраторы сидят либо в папке автозапуска, либо в задачах планировщика,  и могут повторно запустить шифрование оставшихся чистых файлов.

но согласен, в этом разделе (Шифраторы) все таки приоритетна расшифровка документов, и не следует сразу удалять все подряд, все что может помочь в расшифровке.

вирлаб Есета обнаружил связь между трояном elenoocka.A и ctb locker
[URL=http://www.eset.com/int/about/press/eset-blog/article/ctb-locker-ransomware-striking-in-europe-and-latin-america/]http://www.eset.com/int/about/press/eset-blog/article/ctb-locker-ransomware-striking-in-europe-and-l...[/URL]
(рассылки по почте с Еленочкой сейчас идут очень активно!)

по Еленоочке:
[URL=https://www.virustotal.com/ru/file/f4c25ee579365d5f020cee9e86163045f0ede80b39c4fffc35cf3716d147dcf9/analysis/]https://www.virustotal.com/ru/file/f4c25ee579365d5f020cee9e86163045f0ede80b39c4fffc35cf3716d147dcf9/...[/URL]
Еленочка, которая идет в качестве вложения в почту, действительно - это tr.downloader, который скачивает из сети тело шифратора, устанавливает его в задачи, и запускает процесс шифрования.
с таким результатам.
[IMG WIDTH=720 HEIGHT=540]http://i004.radikal.ru/1501/7e/e7198c95e3fa.png[/IMG]


шифратор скачивается в %temp%, отсюда уже прописывается в задачи планировщика, и сразу запускается на исполнение.


[QUOTE]Полное имя C:\DOCUMENTS AND SETTINGS\%userprofile%\LOCAL SETTINGS\TEMP\SZDHNKI.EXE
Имя файла                   SZDHNKI.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ВИРУС
Сигнатура                   ctb locker [глубина совпадения 64(64), необх. минимум 8, максимум 64]
                           
Удовлетворяет критериям    
VOLTAR.JOB                  (ССЫЛКА ~ .JOB)(1)   AND   (ЗНАЧЕНИЕ ~ \TEMP\)(1)
JOB.EXE.NOT DIGITAL         (ССЫЛКА ~ \TASKS\)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     548E0C0CAE000
Linker                      7.0
Размер                      704000 байт
Создан                      27.01.2015 в 12:34:44
Изменен                     27.01.2015 в 12:34:44
                           
TimeStamp                   14.12.2014 в 22:15:40
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 1444                  NT AUTHORITY\SYSTEM
CmdLine                     "C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\szdhnki.exe"
Процесс создан              12:34:45 [2015.01.27]
С момента создания          00:02:39
parentid = 1004             C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1                        85BB3D47A1ABE3F3694533D72DB91B55E15F8715
MD5                         803F9C1091E5CA6DC3E9AA90172E0BF4
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\TASKS\MBWWHVJ.JOB
Значение                    C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\szdhnki.exe
                           
Образы                      EXE и DLL
SZDHNKI.EXE                 C:\DOCUMENTS AND SETTINGS\%userprofile%\LOCAL SETTINGS\TEMP

[/QUOTE]
свежий шифратор основными игроками детектируется, так что (скорее всего) антивирусная защита действительно должна защитить,
но называется у всех по разному. :)
[URL=https://www.virustotal.com/ru/file/3503e7a4ad2fa20c9d927096b496a145707cca1723e707d3ea477817caa4d03b/analysis/]https://www.virustotal.com/ru/file/3503e7a4ad2fa20c9d927096b496a145707cca1723e707d3ea477817caa4d03b/...[/URL]


[QUOTE]DrWeb Trojan.Encoder.866
ESET-NOD32 Win32/Filecoder.DA
Microsoft Ransom:Win32/Critroni.A
Kaspersky Trojan.Win32.Vimditator.glo ?????????
Symantec  Trojan.Cryptolocker.E
             [/QUOTE]
                                   
а это схема оплаты_вымогательства на сайте в сети тор (через тор-браузер.)

[IMG WIDTH=560 HEIGHT=365]http://i072.radikal.ru/1501/cd/ef9e0a51a8b5.jpg[/IMG]

по шифратору *[URL=mailto:[email protected]]protectdata@inbox_com[/URL]
приходит сообщение примерно такого типа:



[IMG WIDTH=800 HEIGHT=236]http://i067.radikal.ru/1501/92/03b66cb8bf41.jpg[/IMG]

в качестве вложения добавлен файл html в архиве, содержащий ссылку на опять же архив, но уже содержащий исполняемый файл *.exe
запуск данного *.exe и приводит к шифрованию документов, в частности *protectdata@inbox

[IMG WIDTH=641 HEIGHT=482]http://s020.radikal.ru/i719/1501/9a/6a4903a8708d.png[/IMG]


файл после запуска добавляется в папку автозагрузки, так что здесь максимальные правила CryptoPrevent вполне могли бы защитить юзера от шифрования. (последний рубеж)

[QUOTE]Полное имя C:\DOCUMENTS AND SETTINGS\SAFETY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\АРХИВНАЯ ДОКУМЕНТАЦИЯ О ПРИВЛЕЧЕНИИ В КАЧЕСТВЕ СВИДЕТЕЛЯ ПО ГРАЖДАНСКОМУ ДЕЛУ №573265.EXE
Имя файла                   АРХИВНАЯ ДОКУМЕНТАЦИЯ  О ПРИВЛЕЧЕНИИ  В КАЧЕСТВЕ СВИДЕТЕЛЯ ПО ГРАЖДАНСКОМУ ДЕЛУ №573265.EXE
Тек. статус                 ВИРУС в автозапуске [Запускался неявно или вручную]
                           
Статус                      ВИРУС
Сигнатура                   Win32/Filecoder.CQ [ESET-NOD32] [глубина совпадения 51(62), необх. минимум 8, максимум 64]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске [Запускался неявно или вручную]
File_Id                     54C401F5488000
Linker                      83.82
Размер                      2662400 байт
Создан                      26.01.2015 в 22:05:52
Изменен                     24.01.2015 в 22:38:26
                           
TimeStamp                   24.01.2015 в 20:35:01
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                           
Оригинальное имя            
Версия файла                1.0.0.0
Описание                    
Производитель              
                           
Доп. информация             на момент обновления списка
SHA1                        8903228D1142F5DA095C1E9598F8BE9051B43BD1
MD5                         492FAFFAE05442384C8454869EF10996
                           
Ссылки на объект            
Ссылка                      C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА
                           
[/QUOTE]
----------------------------
кстати, обошли Криптопревент(бесплатный) с максимальными настройками

%alluserprofille%\start menu\programs\startup\*.exe есть такое правило
а нужно такое
%userprofille%\start menu\programs\startup\*.exe
добавить же новые правила можно только в платной версии (15$)

[QUOTE]Дмитрий Полищук написал:
Если не гарантируют расшифровки даже такие Гуру с авторитетным знанием дела, то что остаётся делать?! У меня зашифрованы все фотографии детей за последние пять лет... [/QUOTE]
откопируйте зашифрованные файлы на отдельный носитель. дети вырастут - расшифруют. (шучу, не обижайтесь).
криптостойкие алгоритмы шифрования для того и созданы чтобы даже гуру шифрования не смогли их расшифровать за конечное время.
а пользуются их результатами, к сожалению, интеллектуальные злоумышленники и вымогатели.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\USERS\Т-М\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %Sys32%\DRIVERS\33388279.SYS
delall %Sys32%\DRIVERS\52351076.SYS
delall %SystemDrive%\USERS\Т-М\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\3Z1YOAWF\IDW4281[1].EXE
deltmp
delnfr
restart[/CODE]перезагрузка, пишем о старых и новых проблемах.
+
если проблема не решится, добавьте лог журнала обнаружения угроз
[URL=http://forum.esetnod32.ru/forum9/topic1408/]http://forum.esetnod32.ru/forum9/topic1408/[/URL]
------------
+
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

добавьте новый образ автозапуска из безопасного режима системы

можно в ООН написать Пак Ги Муну.
а платить деньги за расшифровку злоумышленникам последнее дело.

потратьте деньги на работу CryptoPrevent (на будущее) для улучшения защиты системы, если недостаточно установленного антивируса.
[URL=http://www.foolishit.com/vb6-projects/cryptoprevent/]http://www.foolishit.com/vb6-projects/cryptoprevent/[/URL]

[URL=http://forum.esetnod32.ru/user/20123/]Артём Кухаренко[/URL],
значит и для вас. читаем и выполняем сообщение 2.

1. вышлите в почту [URL=mailto:[email protected]][email protected][/URL] письмо с ссылкой, или скаченный архив.

2. добавьте образ автозапуска системы, на которой произошло шифрование данных.
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

добавьте образ автозапуска для проверки системы
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]