Зашифрованы файлы на ПК

[mupts]

По почте подхватили шифровальщик, касперский определил как Trojan-Ransom.Win32.Gen.duh и перенёс в карантин, но файлы успели пострадать. Расширение у файлов не поменялось, но открыть их невозможно, говорит о повреждении файлов.

 

Пострадали как файлы ворда и экселя, так и файлы pdf с архивами. Пострадали причем файлы только на жестком диске, на сетевом диске файлы открываются, хотя у пользователя есть доступ на редактирования своей сетевой папки.

 

В папках где есть зашифрованные файлы, создаётся файл: README_NAN5qITp.html

 

Прошу помочь, заранее спасибо.

CollectionLog-2017.05.12-15.01.zip

README_NAN5qITp.html

Изменено 12 мая, 2017 пользователем mupts

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Также упакуйте и прикрепите пару поврежденных офисных документов.

[mupts]

Извиняюсь за задержку, были выходные.

doc_&_xls.rar

FRST.7z

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicyScripts: Restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  2017-05-11 11:23 - 2017-05-11 11:23 - 00000111 ____R C:\Documents and Settings\arm_omts\Рабочий стол\README_NAN5qITp.html
  2017-05-11 11:23 - 2017-05-11 11:23 - 00000111 ____R C:\Documents and Settings\arm_omts\Мои документы\README_NAN5qITp.html
  2017-05-11 11:22 - 2017-05-11 11:22 - 00000111 ____R C:\Documents and Settings\arm_omts\README_NAN5qITp.html
  2017-05-11 11:05 - 2017-05-11 11:05 - 00000643 _____ C:\Documents and Settings.lnk
  2017-05-11 11:05 - 2017-05-11 11:05 - 00000625 _____ C:\Program Files.lnk
  2017-05-11 11:05 - 2017-05-11 11:05 - 00000625 _____ C:\2011-03 (мар).lnk
  2017-05-11 11:05 - 2017-05-11 11:05 - 00000623 _____ C:\My Documents.lnk
  2017-05-11 11:05 - 2017-05-11 11:05 - 00000621 _____ C:\spoolerlogs.lnk
  2017-05-11 11:05 - 2017-05-11 11:05 - 00000613 _____ C:\WINDOWS.lnk
  2017-05-11 11:05 - 2017-05-11 11:05 - 00000613 _____ C:\Basa_BK.lnk
  2017-05-11 11:05 - 2017-05-11 11:05 - 00000607 _____ C:\omts.lnk
  2017-05-11 11:05 - 2017-05-11 11:05 - 00000605 _____ C:\123.lnk
  2017-05-11 11:05 - 2017-05-11 11:05 - 00000601 _____ C:\1.lnk
  2017-05-11 11:05 - 2017-05-11 11:05 - 00000000 ____R C:\Documents and Settings\arm_omts\Application Data\NAN5qITp
  2017-05-12 14:26 - 2017-05-12 14:27 - 0000000 _____ () C:\Documents and Settings\arm_omts\Local Settings\Temp\df696522.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Увы, это Spora и способов расшифровки для него пока нет.

[mupts]

 

Увы, это Spora и способов расшифровки для него пока нет.

 

Увы, это так =(

Fixlog.txt

[Sandor]

Если есть возможность, отложите поврежденные файлы "до лучших времен". Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[mupts]

SecurityCheck

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 10 ActiveX v.10.0.22.87 Внимание! Скачать обновления

Adobe Reader XI (11.0.16) - Russian v.11.0.16 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

---------------------------- [ UnwantedApps ] -----------------------------

Auslogics DiskDefrag v.4.5.1.0 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Проверьте включена ли эта настройка.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[mupts]

Спасибо за рекомендации, 80% из них соблюдаются. Увы, сейчас ничто не может гарантировать полную защиту...

Изменено 15 мая, 2017 пользователем mupts

[Logopas]

Здравствуйте!

 

У меня тоже самое Копия такой же файл READMI в тех папках, где зашифрованы файлы Ворда, Экселя и PDF.

Зашифрованы только все общие документы в общей папке на Я.Диске.

 

Как я понимаю, мне тоже "отложить поврежденные файлы "до лучших времен""? Да? 

[Sandor]

@Logopas, здравствуйте!

 

Не пишите в чужой теме, это нарушение правил. Прочтите и выполните Порядок оформления запроса о помощи