Возможно, будет реализован VT API v3

[QUOTE]VT APIv3 is the preferred way to programmatically interact with VirusTotal. While older API endpoints are still available and will not be deprecated, we encourage you to migrate your workloads to this new version. It exposes far richer data in terms of: IoC relationships, sandbox dynamic analysis information, static information for files, YARA workloads management, crowdsourced detection details, etc.[/QUOTE]

https://developers.virustotal.com/v3.0/reference#overview

+
лог esetsysinspector добавьте
http://forum.esetnod32.ru/forum9/topic10701/

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:


[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; .space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx; .data; .homer; HAT; .tcprx; .LOG; .1dec; .xati; .GET; .Back; .Aim; .get; .abc; .rec; .NW24; .gtf; .cl; .gold; .eur; .blm; [b].chuk; .AHP; .lina; .TEREN; .cve; .WSHLP; .fresh; .FLYU; .gtsc; .dme; .Crypt; .259; .LCK; .kut; .SWP; .zimba; .help; .sss; .dex; .ZIN; .SUKA; .msf; .lock; .gac; .21btc; .mpr; .4help [/b] [/QUOTE]

добавьте образ автозапуска системы,
+ лог ESETsysinspector
http://forum.esetnod32.ru/forum9/topic10701/

Создана новая программа вакцины от программ-вымогателей, которая завершает процессы, пытающиеся удалить теневые копии тома с помощью программы Microsoft vssadmin.exe,

Каждый день Windows будет создавать резервные копии вашей системы и файлов данных и сохранять их в моментальных снимках теневого копирования томов.

Затем эти снимки можно использовать для восстановления файлов, если они были по ошибке изменены или удалены.

Поскольку заражение программами-вымогателями не хочет, чтобы жертвы использовали эту функцию для бесплатного восстановления файлов, одно из первых действий, которые они делают при запуске, - это удаление всех копий теневых томов на компьютере.

Один из способов удаления теневых томов - использовать следующую команду vssadmin.exe:

[code]vssadmin delete shadows /all /quiet[/code]
[b]Вакцина от программ-вымогателей Raccine[/b]

В эти выходные исследователь безопасности Флориан Рот выпустил вакцину-вымогатель[b] Raccine[/b], которая отслеживает удаление теневых копий тома с помощью команды vssadmin.exe.

«Мы довольно часто видим, как программы-вымогатели удаляют все теневые копии с помощью vssadmin. Что, если бы мы могли просто перехватить этот запрос и остановить процесс вызова? Давайте попробуем создать простую вакцину», - объясняет страница Raccine на GitHub.

[b]Raccine[/b] работает путем регистрации исполняемого файла raccine.exe в качестве отладчика для vssadmin.exe с помощью раздела реестра Windows с параметрами выполнения файла образа.

После регистрации raccine.exe в качестве отладчика при каждом запуске vssadmin.exe он также запускает Raccine, который проверяет, пытается ли vssadmin удалить теневые копии.

Если он обнаруживает, что процесс использует «vssadmin delete», он автоматически завершает процесс, что обычно выполняется до того, как программа-вымогатель начнет шифрование файлов на компьютере.

[img]https://www.bleepstatic.com/images/news/ransomware/raccine/raccine.jpg[/img]

Хотя этот метод предотвратит шифрование с помощью большого количества программ-вымогателей, некоторые современные семейства программ-вымогателей удаляют теневые тома с помощью других команд, перечисленных ниже.

[code]Get-WmiObject Win32_Shadowcopy | ForEach-Object {$ _. Delete ();}
WMIC.exe shadowcopy удалить / nointeractive[/code]

Для этих вариантов вымогателей Raccine в настоящее время не будет блокировать вымогателей, поскольку они не используют vssadmin.exe. Поддержка этих команд может быть добавлена в будущем.

Следует также отметить, что Raccine может прекратить работу законного программного обеспечения, которое использует vssadmin.exe как часть своих процедур резервного копирования.

Рот планирует добавить в будущем возможность разрешать определенным программам обходить Raccine, чтобы они не прекращались по ошибке.

[b]Как установить Raccine[/b]

Чтобы установить Raccine, вы можете выполнить следующие действия:

  Загрузите [b]Raccine.exe[/b] и используйте командную строку с повышенными привилегиями, чтобы скопировать его в папку C: \ Windows.
    [b]raccine-reg-patch.reg[/b] и дважды щелкните его. Когда он предложит вам объединить содержимое в реестр, позвольте ему сделать это.

Raccine теперь зарегистрирован как отладчик для команды vssadmin.exe, отслеживающей попытки удаления теневых копий тома.

Если вы обнаружите, что Raccine завершает работу законных программ, которые вы используете, вы можете удалить его, запустив файл реестра [b]raccine-reg-patch-uninstall.reg[/b] и удалив C: \ windows \ raccine.exe.

После удаления Raccine больше не будут завершаться процессы, пытающиеся удалить копии теневых томов с помощью vssadmin.exe.

https://www.bleepingcomputer.com/news/security/new-ransomware-vaccine-kills-programs-wiping-windows-shadow-volumes/
----------
версия 0.4.1
https://github.com/Neo23x0/Raccine/releases

[QUOTE]UFC 3 написал:
Добрый день заразились таким шифровальщиком может кто сталкивался уже[/QUOTE]
скорее всего,
это Crysis, расширение harma без возможности расшифровки
добавьте в архиве записки о выкупе: info.hta и FILES ENCRYPTED.txt
+
один из зашифрованных файлов

так же сделайте образ автозапуска зашифрованной системы,
http://forum.esetnod32.ru/forum9/topic2687/
возможно файлы шифратора сохранились в системе и еще активны

[QUOTE]
при включенном NoScript некоторые сайты работают некорректно[/QUOTE]
можно еще проверить как работает uBlock Origin, он есть для Chrome, Firefox, Opera

[QUOTE]Валерия Радюк написал:
Можно ссылку на форум? Как расшифровать остальные файлы? ну или можно повторить ссылку?
[/QUOTE]
ответ дан на форуме фан-клуба Лаборатории Касперского.
https://forum.kasperskyclub.ru/forum/155-pomosch-v-borbe-s-shifrovalschikami-vymogatelyami/

в сетевом окружении видите другие компьютеры?

напишите в [email protected]