файлы зашифрованы Trojan.Encoder.10103 DrWeb не помог

[Иван Гогин]

В почте попался на "письмо от контрагента", дважды кликнув на автомате по распакованному файлу, замаскированному под .doc с размывающей маской. Как результат - зашифрованы .docx, .xlsx, .pdf и .jpeg файлы. Установлен лицензионный DrWeb. Их саппорт написал, что всё пропало, так как зашифровано Trojan.Encoder.10103, а от него спасения нет, но файл из письма они теперь обозначили как вредоносный. Что интересно, архив я получил с mail.ru на mail.ru, а вот переслать его знакомому для изучения уже не смог - mail.ru уже определил его как заражённый. Существуют ли какие-либо шансы восстановления, хотя бы платно? Лучше заплатить честному человеку за работу, чем преступнику за преступление.

В приложении, кроме логов, зашифрованные .docx и .xlsx

Похоже, поторопился выложить лог...

данные Арапова.docx

CollectionLog-2017.03.10-22.41.zip

зарплата.xlsx

CollectionLog-2017.03.10-22.41.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Иван Гогин]

Сделано.

Читал соседнюю ветку, решил подготовиться

farbar.rar

[thyrex]

Это Spora. Никаких шансов на расшифровку.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-03-10 11:44 - 2017-03-10 11:44 - 0016650 _____ () C:\Users\Ivan\AppData\Roaming\RUC0D-22OOF-ZTXZG-XTOTO-XTXXX-ZFETO-AHYYY.html
2017-03-10 11:42 - 2017-03-10 11:44 - 13311192 _____ () C:\Users\Ivan\AppData\Roaming\1748359590
IFEO: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\dtlite.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\effectextractor.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\intelsmallbusinessadvantage.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\isoviewer.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javacpl.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javaw.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javaws.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\lsc.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\nitropdf.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\pdvdcreate.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\pdvdlaunchpolicy.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\power2go.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\powerdvdcinema10.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\producer.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\skype.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\steam.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\tvsu.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\uninstall.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\viber.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
Startup: C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUC0D-22OOF-ZTXZG-XTOTO-XTXXX-ZFETO-AHYYY.html [2017-03-10] ()
HKLM-x32\...\Run: [] => [X]
Task: {EDCA1563-92D3-467F-95D3-1D1C58741A01} - \WPD\SqmUpload_S-1-5-21-3582556321-3219786501-908861160-1002 -> No File <==== ATTENTION
Task: {E0C3C6AB-F6CA-4FD2-9B13-2B6EA2069422} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {C6F9FEEF-7D46-4905-882B-974077780CF3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {8AE9B4A4-F344-426F-9E06-1297BA45B7F3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {7C717254-CEAF-40F6-B7AE-A0BBE55C9010} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {86AF4EDC-E24C-4CF7-A9C3-E559581881E7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {53D1268C-E052-472F-BC32-8CC0B91DF5CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {540BBDD5-B6B6-4AB8-987C-5B040B988C39} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {65D3BADA-EDF3-4963-93E1-ABF736282290} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {4C626F61-CBC8-4939-9066-8C5030315D89} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {32F0A4F9-8650-4A64-A091-C5D7E8140D75} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {2B4B6CF9-BF95-4D33-92A1-471E9CBF6428} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {2C018980-E2C0-4C61-B7D7-32521FE66A1D} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {14A5068E-28FD-438F-A41C-9032EEC58872} - \Microsoft\Windows\Setup\xtgt\refreshxtgtconfig -> No File <==== ATTENTION
Task: {1BA846E9-39D4-4372-B46F-C4EF201ED998} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Иван Гогин]

Есть смысл оставлять файлы с надеждой на будущее?

Fixlog.txt

[thyrex]

Можете оставить. Но вся надежда скорее всего только на слив ключей самими злодеями