Все файлы зашифрованы - тип файла "CRYPT"

[mihail_am]

Приветствую! Подскажите, пожалуйста, как мне быть ... Практически все файлы зашифрованы, тип файла у всех стал "CRYPT", в каждой папке появился файл - "how_to_back_files" с указанием куда отправить свои кровные!) Утилиты утилиты XoristDecryptor и RectorDecryptor не помогли... Правда сначала про сканировал комп KVRT и и удалил троянов( может зря...).

Спасибо.

 

CollectionLog-2017.05.02-22.37.zip

how_to_back_files.html

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\winsvc.exe','');
 QuarantineFile('C:\Users\MIHAIL\AppData\Roaming\newSI_4396\s_inst.exe','');
 QuarantineFile('C:\Users\MIHAIL\AppData\Roaming\newSI_2149\s_inst.exe','');
 QuarantineFile('C:\Users\MIHAIL\AppData\Roaming\newSI_1\s_inst.exe','');
 DeleteFile('C:\Users\MIHAIL\AppData\Roaming\newSI_1\s_inst.exe','32');
 DeleteFile('C:\Users\MIHAIL\AppData\Roaming\newSI_2149\s_inst.exe','32');
 DeleteFile('C:\Users\MIHAIL\AppData\Roaming\newSI_4396\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_4396.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_2149.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_2149','64');
 DeleteFile('C:\winsvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[mihail_am]

Все файлы зашифрованы - тип файла "CRYPT" [KLAN-6187382121]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
winsvc.exe - Trojan-Ransom.Win32.Foreign.nkqn

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

[thyrex]

Дочитывайте, пожалуйста, до конца

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[mihail_am]

Виноват)

CollectionLog-2017.05.03-10.38.zip

[mihail_am]

Приветствую! Хотел уточнить,  а какие мои следующие действия? Или пока ожидать дополнительного ответа от Антивирусной Лаборатории?

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[mihail_am]

Сделано)

FRST.zip

[thyrex]

GlobeImposter 2.0

 

С расшифровкой помочь не сможем.