файлы зашифрованы Trojan.Encoder.10103 DrWeb не помог

10 марта, 2017

В почте попался на "письмо от контрагента", дважды кликнув на автомате по распакованному файлу, замаскированному под .doc с размывающей маской. Как результат - зашифрованы .docx, .xlsx, .pdf и .jpeg файлы. Установлен лицензионный DrWeb. Их саппорт написал, что всё пропало, так как зашифровано Trojan.Encoder.10103, а от него спасения нет, но файл из письма они теперь обозначили как вредоносный. Что интересно, архив я получил с mail.ru на mail.ru, а вот переслать его знакомому для изучения уже не смог - mail.ru уже определил его как заражённый. Существуют ли какие-либо шансы восстановления, хотя бы платно? Лучше заплатить честному человеку за работу, чем преступнику за преступление.

В приложении, кроме логов, зашифрованные .docx и .xlsx

Похоже, поторопился выложить лог...

данные Арапова.docx

CollectionLog-2017.03.10-22.41.zip

зарплата.xlsx

CollectionLog-2017.03.10-22.41.zip

10 марта, 2017

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

10 марта, 2017

Сделано.

Читал соседнюю ветку, решил подготовиться

farbar.rar

10 марта, 2017

Это Spora. Никаких шансов на расшифровку.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-03-10 11:44 - 2017-03-10 11:44 - 0016650 _____ () C:\Users\Ivan\AppData\Roaming\RUC0D-22OOF-ZTXZG-XTOTO-XTXXX-ZFETO-AHYYY.html
2017-03-10 11:42 - 2017-03-10 11:44 - 13311192 _____ () C:\Users\Ivan\AppData\Roaming\1748359590
IFEO: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\dtlite.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\effectextractor.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\intelsmallbusinessadvantage.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\isoviewer.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javacpl.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javaw.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javaws.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\lsc.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\nitropdf.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\pdvdcreate.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\pdvdlaunchpolicy.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\power2go.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\powerdvdcinema10.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\producer.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\skype.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\steam.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\tvsu.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\uninstall.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\viber.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
Startup: C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUC0D-22OOF-ZTXZG-XTOTO-XTXXX-ZFETO-AHYYY.html [2017-03-10] ()
HKLM-x32\...\Run: [] => [X]
Task: {EDCA1563-92D3-467F-95D3-1D1C58741A01} - \WPD\SqmUpload_S-1-5-21-3582556321-3219786501-908861160-1002 -> No File <==== ATTENTION
Task: {E0C3C6AB-F6CA-4FD2-9B13-2B6EA2069422} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {C6F9FEEF-7D46-4905-882B-974077780CF3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {8AE9B4A4-F344-426F-9E06-1297BA45B7F3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {7C717254-CEAF-40F6-B7AE-A0BBE55C9010} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {86AF4EDC-E24C-4CF7-A9C3-E559581881E7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {53D1268C-E052-472F-BC32-8CC0B91DF5CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {540BBDD5-B6B6-4AB8-987C-5B040B988C39} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {65D3BADA-EDF3-4963-93E1-ABF736282290} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {4C626F61-CBC8-4939-9066-8C5030315D89} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {32F0A4F9-8650-4A64-A091-C5D7E8140D75} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {2B4B6CF9-BF95-4D33-92A1-471E9CBF6428} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {2C018980-E2C0-4C61-B7D7-32521FE66A1D} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {14A5068E-28FD-438F-A41C-9032EEC58872} - \Microsoft\Windows\Setup\xtgt\refreshxtgtconfig -> No File <==== ATTENTION
Task: {1BA846E9-39D4-4372-B46F-C4EF201ED998} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

10 марта, 2017

Есть смысл оставлять файлы с надеждой на будущее?

Fixlog.txt

11 марта, 2017

Можете оставить. Но вся надежда скорее всего только на слив ключей самими злодеями

файлы зашифрованы Trojan.Encoder.10103 DrWeb не помог

Рекомендуемые сообщения

Иван Гогин

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Иван Гогин

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Иван Гогин

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum