Подхватили шифровальщика

[suvolod]

Прощу помощи.. сегодня подхватили шифровальщика. Появилась куча криптованных файлов с расширением "los_pollos":

 

1LNk2Pqk8l9RGysLLpBEfKBl-3XO0IkxpxxX81-RuCEqBhSgmKQP7177yOfRksTXJzTsrTFZokDVZ1ZbJNchnIFVHl69h3Wa1GqKJb3MAYgBAaAB-Z291gKqAQQICBB5uAFhwgIR6zn8AbwGCgG0AcwB3QoNAwY[1].gif.los_pollos

1LNk2Pqk8l9RGysLLpBEfKBl-3XO0IkxpxxX81-RuCEqBhSgmKQP7177yOfRksTXJzTsrTFZokDVZ1ZbJNchnIFVHl69h3Wa1GqKJb3MAYgBAaAB-Z291gKqAQQICBB5uAFhwgIR6zn8AbwGCgG0AcwB3QoNAwY[1]_000.gif.los_pollos

cLEi3bDCarjWUr7r8W5vBjFcM51Zv2DawpYU7zz-uz_S9ap99eVHW-M7-BTfYBtt-PNex5lsw3LbSz7hB91PjDsvizJ4pKc9IX1kAYgBAaAB-Z291gKqAQQICBB5uAFhwgIUujkx-gG-BgoBtwHJAcYBlwkNAwY[1].gif.los_pollos

 

Прикладываю результаты скана AutoLogger:

CollectionLog-2016.04.02-17.47.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[suvolod]

Сделал...

111.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2016-04-02 14:39 - 2016-04-02 14:39 - 03932214 _____ C:\Users\Admin\AppData\Roaming\DDF1B1E4DDF1B1E4.bmp
2016-04-01 16:26 - 2016-04-01 16:26 - 00002728 _____ C:\README9.txt
2016-04-01 16:26 - 2016-04-01 16:26 - 00002728 _____ C:\README8.txt
2016-04-01 16:26 - 2016-04-01 16:26 - 00002728 _____ C:\README7.txt
2016-04-01 16:26 - 2016-04-01 16:26 - 00002728 _____ C:\README6.txt
2016-04-01 16:26 - 2016-04-01 16:26 - 00002728 _____ C:\README5.txt
2016-04-01 16:26 - 2016-04-01 16:26 - 00002728 _____ C:\README4.txt
2016-04-01 16:26 - 2016-04-01 16:26 - 00002728 _____ C:\README3.txt
2016-04-01 16:26 - 2016-04-01 16:26 - 00002728 _____ C:\README2.txt
2016-04-01 16:26 - 2016-04-01 16:26 - 00002728 _____ C:\README10.txt
2016-04-01 16:16 - 2016-04-02 15:26 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-04-01 16:16 - 2016-04-02 15:26 - 00000000 __SHD C:\ProgramData\Windows
CustomCLSID: HKU\S-1-5-21-3903131971-2208517789-155161909-1000_Classes\CLSID\{13cae5e0-317d-4dc4-9f06-a01ce92c698c}\InprocServer32 -> C:\TEMP\v8_684F_12b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3903131971-2208517789-155161909-1000_Classes\CLSID\{6b0424b6-7ac3-4521-8b5c-894cdaffd92e}\InprocServer32 -> C:\TEMP\v8_684F_12b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3903131971-2208517789-155161909-1000_Classes\CLSID\{7baafa79-37ac-411c-88a9-573ae46e3065}\InprocServer32 -> C:\TEMP\v8_684F_12b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3903131971-2208517789-155161909-1000_Classes\CLSID\{cdfb4d3f-01e2-4259-b016-fd6ede8b8204}\InprocServer32 -> C:\TEMP\v8_684F_12b.tmp => No File
CustomCLSID: HKU\S-1-5-21-3903131971-2208517789-155161909-1000_Classes\CLSID\{d0b2a3c2-dda6-48d3-8193-a3bb748d6440}\InprocServer32 -> C:\TEMP\v8_684F_12b.tmp => No File
Task: {54DF886B-16F5-4EFB-97F4-4C60D284D748} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {F8DB75D0-3012-41DF-878C-4FC6550A0805} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[suvolod]

Сделал...

Fixlog.txt

[thyrex]

С расшифровкой не поможем

[suvolod]

Очень жаль... но надежда вроде как еще осталась. Сегодня пришел наконец-то ответ от службы поддержки касперского. Выслали утилиту ShadeDecryptor. Вот только архив с утилитой запаролен, а пароля в сообщении не было.. Кто-нибудь в курсе? Может у касперского есть какой-то стандартный пароль на архивы? С службу техподдержки я уже написал, но ответа пока нет

[mike 1]

Пришлите зашифрованный файл в архиве.