все файлы зашифрованы в формате *.no_more_ransom

[mushu]

Добрый день. Вчера вечером домашний компьютер был заражен шифровальщиком, так как им пользуется женщина уже пенсионного возраста, установить источник заражения точно не удается. вроде бы было какое-то письмо, по ее словам, с платежкой, которую она пыталась открыть но так и не смогла и поспешила удалить это самое письмо.

В общем сегодня утром все файлы с самыми популярными расширениями были зашифрованы по типу "fqy17fHlA6CvIZiKwF3RUfUsorohidwhdLplYUUxIuF1vKjtOHNJWVoulZjgsQPV.BDE16F47261DBA637C37.no_more_ransom", на рабочем столе черный экран с красными надписями, что фалы зашифрованы, руководство можно найти в файлах README.

Компьютер принадлежит главбуху работающему удаленно. На компьютере очень много ценной информации. Пожалуйста, помогите расшифровать файлы.

CollectionLog-2016.11.30-12.01.zip

[mike 1]

Деинсталлируйте Amazon Assistant

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[mushu]

Прикрепляю оба файла.

Addition.txt

FRST.txt

[mike 1]

Вы в 3 часа ночи что ли шифровальщика запустили?

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy: Restriction <======= ATTENTION
  2016-11-30 03:00 - 2016-11-30 03:00 - 06220854 _____ C:\Users\Ludmila\AppData\Roaming\3964361A3964361A.bmp
  2016-11-30 03:00 - 2016-11-30 03:00 - 00004186 _____ C:\Users\Ludmila\Desktop\README9.txt
  2016-11-30 03:00 - 2016-11-30 03:00 - 00004186 _____ C:\Users\Ludmila\Desktop\README8.txt
  2016-11-30 03:00 - 2016-11-30 03:00 - 00004186 _____ C:\Users\Ludmila\Desktop\README7.txt
  2016-11-30 03:00 - 2016-11-30 03:00 - 00004186 _____ C:\Users\Ludmila\Desktop\README6.txt
  2016-11-30 03:00 - 2016-11-30 03:00 - 00004186 _____ C:\Users\Ludmila\Desktop\README5.txt
  2016-11-30 03:00 - 2016-11-30 03:00 - 00004186 _____ C:\Users\Ludmila\Desktop\README4.txt
  2016-11-30 03:00 - 2016-11-30 03:00 - 00004186 _____ C:\Users\Ludmila\Desktop\README3.txt
  2016-11-30 03:00 - 2016-11-30 03:00 - 00004186 _____ C:\Users\Ludmila\Desktop\README2.txt
  2016-11-30 03:00 - 2016-11-30 03:00 - 00004186 _____ C:\Users\Ludmila\Desktop\README10.txt
  Folder: C:\ProgramData\Kaspersky Lab\AVP16.0.1\SysWHist
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[mushu]

Да говорю же, владелец компа главбух пенсионного возраста, работает по удаленке - днем работает, а ночами сериалы смотрит

На рабочем столе ни какого архива создано не было, так что прикрепляю только Fixlog

Я вроде бы нашел письмо с шифровальщиком, там вот такая ссылка 

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не пишите на форуме ссылки на вредоносные и потенциально вредоносные файлы. Ссылка удалена.

Fixlog.txt

[mushu]

Прошу прощения, не знал.

[mike 1]

========================= Folder: C:\ProgramData\Kaspersky Lab\AVP16.0.1\SysWHist ========================

 

2016-07-25 15:00 - 2016-07-25 15:00 - 0000000 ____D () C:\ProgramData\Kaspersky Lab\AVP16.0.1\SysWHist\file_cache

 

====== End of Folder: ======

 

Какой продвинутый у вас бухгалтер, даже антивирус отключила перед запуском вируса.

[mushu]

вряд ли, он у нее уже больше полугода дает сбой, а на мои попытки переустановить у нее только один ответ: "мне сейчас некогда, давай потом"

ну вот и дождалась

[mike 1]

Принимайте экзамен у вашего бухгалтера https://goo.gl/BC7QFj , расшифровки на данный момент нет

[mushu]

ясно. когда можно ожидать победы на данным шифровальщиком?

когда можно снова обратиться за помощью?

[mike 1]

В техподдержке владеют актуальной информацией. Создавайте запрос на расшифровку и узнавайте.