Шифровальщик зашифровал doc, docx, pdf, xls

[Pasha.Zh.]

Доброе день, подскажите куда можно обратиться. Вчера был запущен предположительно вирус-шифровальщик. Пришел архив по электронной почте с адреса <ondrej.mourek@seznam.cz>. После его случайного запуска, все файлы форма doc, docx, pdf, xls перестали открываться, при этом названия и формат не меняли. У них поменялась дата изменения. На всех трех дисках компьютера с которого запустился вирус появились файлы реестра как-будто с кодом активации RUDB4-6CAXK-HXTRZ-ZKTHO-RTRKX-TAOZK-RTOOO-ZYYYY.KEY. Самое интересное, что никаких дополнительных файлов не появлялось, никаких требований не было. По сети также вырезал на двух открытых дисках все файлы на одном компьютере. Файл который запустил вирус у меня есть. При надобности вышлю. Очень надеюсь на вашу помощь. Заранее спасибо.

Прикрепленный файл - пример документа word, а также файл протоколов с того компьютера на котором был запущен вирус

Семинар-практикум 09.01.docx

CollectionLog-2017.01.20-12.24.zip

Изменено 20 января, 2017 пользователем Pasha.Zh.

[Sandor]

Здравствуйте!

 

С этим типом вымогателя картина пока плачевная. Можем только очистить его следы.

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Pasha.Zh.]

То есть даже хоть какую-то малую часть файлов совсем не восстановить?

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\USER2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-10-31]
FF Extension: (Поиск@Mail.Ru) - C:\Users\USER2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-10-31]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\USER2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-10-31]
2017-01-18 08:33 - 2017-01-18 08:33 - 00001088 ___RH C:\Users\USER2\AppData\Roaming\RUDB4-6CAXK-HXTRZ-ZKTHO-RTRKX-TAOZK-RTOOO-ZYYYY.KEY
2017-01-18 08:33 - 2017-01-18 08:33 - 00001088 ___RH C:\RUDB4-6CAXK-HXTRZ-ZKTHO-RTRKX-TAOZK-RTOOO-ZYYYY.KEY
2017-01-18 08:33 - 2017-01-18 08:33 - 00001088 ____R C:\Users\USER2\Desktop\RUDB4-6CAXK-HXTRZ-ZKTHO-RTRKX-TAOZK-RTOOO-ZYYYY.KEY
2017-01-18 08:27 - 2017-01-18 08:34 - 14516584 _____ C:\Users\USER2\AppData\Roaming\3471559794
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Pasha.Zh.]

Сделал

Fixlog.txt

[Sandor]

С расшифровкой, увы, помочь не сможем.

[Pasha.Zh.]

Спасибо и на этом. Подскажите, с течением времени я могу надеяться, что дешифратор появится? и можно ли мой емэйл внести в какую-нибудь базу данных, чтобы как-то оповестила о выходе?

[Sandor]

Следите за новостями.