Очередная жертва better_call_saul. Зашифрованы файлы

[Smesharik]

Всё стандартно. Запущен файл из вложения, полученного с письмом не вызвавшим подозрения у сотрудника.

В итоге массив зашифрованных файлов, "убитый" Chrome и обои с предложением "договориться".

В файлах readme1.txt,...,readme10.txt:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
FFA25B9A9C13A45751D1|0
на электронный адрес files2549@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
FFA25B9A9C13A45751D1|0
to e-mail address files2549@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.

 

 

Отчёт FRST прикладываю.

FRST.txt

Addition.txt

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Smesharik]

Протокол AutoLogger

CollectionLog-2016.04.05-12.16.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Smesharik]

Эти отчёты есть в первом сообщении темы. Или после работы AutoLogger нужно создать их заново?

[mike 1]

Эти отчеты есть вот только сделаны они не из под админа. 

[Smesharik]

Ок. Проблема в том, что компьютер в домене, но пароль администратора домена давно утерян.

Попробовал запустить из под доменного пользователя, но от имени локального администратора.

Подойдёт?

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
2016-04-04 13:30 - 2016-04-04 13:30 - 03932214 _____ C:\Users\secretary\AppData\Roaming\134A5064134A5064.bmp
2016-04-04 12:19 - 2016-04-05 11:04 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-04-04 12:19 - 2016-04-05 11:04 - 00000000 __SHD C:\ProgramData\Windows

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

[Smesharik]

Готово. Файла upload.zip нет.

Fixlog.txt

[mike 1]

С расшифровкой не поможем.

 

Секретарю читать это http://virusinfo.info/announcement.php?f=46&a=52, а вам это http://it-uroki.ru/uroki/chto-takoe-rezervnoe-kopirovanie-backup.html