Вирус поменял кодировку документов

[himopttorg]

Вирус сменил кодировку документа. Пришло по почте письмо с расширением zip, после его открытия все документы поменяли кодировку, на рабочем столе создались 2 файла.

прилагаю файлы созданные вирусом и закодированный документ, расширение документов не поменялось, при открытии просит преобразовать в какую либо кодировку. Логи во вложении

Копия дог отрада.doc

RU910-11FKH-XZTAG-ERTGE-TEXAG-TRFOR-HTXGE-FYYYY.zip

CollectionLog-2017.01.10-17.04.zip

Изменено 10 января, 2017 пользователем himopttorg

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[himopttorg]

Ознакомился и выполнил, помогите пожалуйста!

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

На время сбора отчетов все программы, в т.ч. 1С, желательно выключить.

[himopttorg]

Логи программы  Farbar Recovery Scan Tool

Addition.txt

FRST.txt

Shortcut.txt

[mike 1]

 

 

Пришло по почте письмо с расширением zip

В личку мне этот архив киньте (архив предварительно загрузите на rghost.ru).

Изменено 10 января, 2017 пользователем mike 1

[thyrex]

Это из новинок - Spora Ransomware

[himopttorg]

Это из новинок - Spora Ransomware

Дело в том что, открыла письмо сотрудница и в данный момент не признается в каких либо всплывающих окнах или открытии ссылки, а по тихому все закрыла и молчала пол дня пока не обнаружили половину закодированных документов(((

[thyrex]

Ну так логи похоже не с ее компьютера. Если это так, то придется переделать

[himopttorg]

Ну так логи похоже не с ее компьютера. Если это так, то придется переделать

Логи с сервера, она работает на сервере терминалов, все логи делал под ее учеткой.

Нашел еще один файл нашел его по пути C:\Documents and Settings\user\Application Data\ ссылка http://rgho.st/8zyB8Qd4J

Изменено 10 января, 2017 пользователем himopttorg

[thyrex]

Скорее всего мусор какой-то

[himopttorg]

Скорее всего мусор какой-то

Я судил по времени открытия архива с вирусом и временем создания этого файла, время совпадает, создался файл в тоже время как зашифровал все документы созданные в microsoft office, может поможет в выявлении вируса -  все документы созданные в open office остались не тронутыми. 

[bread89]

Та же история, лог и логи программы Farbar Recovery 

Addition.txt

FRST.txt

Shortcut.txt

CollectionLog-2017.01.10-21.29.zip

[thyrex]

@bread89, если Вы до сих пор не поняли (не увидели), куда из этой темы пропадают Ваши сообщения, то вот Вам ссылка на них https://forum.kasperskyclub.ru/index.php?showtopic=53869

[himopttorg]

Подскажите пожалуйста, есть хотя бы шанс восстановить  документы?