xorist Вирус зашифровал все файлы под расширение .EnCiPhErEd

[Дмитрий Романович]

Здравствуйте. Сегодня обнаружил что все файлы на компьютере под расширением EnCiPhErEd, эти файлы очень нужны, шансов нет, нужно разблокировать. 
Файл больше 5 мб, прикрепляю ссылку на облако.
https://disk.yandex.ru/d/9EYiGK7W0TsHpQ
пароль virus

[thyrex]

Зачем Вам столько пользователей с правами администратора?

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Alcmeter] => C:\Users\7272~1\AppData\Local\Temp\1J6fb5nP05X1XO6.exe <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {AD37A87B-4ED8-46DD-97C8-462701EE070B} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2018-11-08] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-11-08] <==== ВНИМАНИЕ
2019-06-12 04:34 - 2019-06-12 04:34 - 000000589 _____ () C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2019-06-12 04:34 - 2019-06-12 04:34 - 000000589 _____ () C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2019-06-12 04:34 - 2019-06-12 04:34 - 000000589 _____ () C:\Users\ГлБух\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-08-09 11:37 - 2019-06-12 04:34 - 000000589 ____C C:\Users\ГлБух\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-08-09 11:37 - 2019-06-12 04:34 - 000000589 ____C C:\Users\ГлБух\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ — копия.txt
2021-08-09 11:37 - 2019-06-12 04:34 - 000000589 ____C C:\Users\ГлБух\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ — копия (3).txt
2021-08-09 11:37 - 2019-06-12 04:34 - 000000589 ____C C:\Users\ГлБух\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ — копия (2).txt
2021-08-09 11:37 - 2019-06-12 04:34 - 000000589 ____C C:\Users\ГлБух\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ — копия (2) — копия.txt
2021-08-09 11:37 - 2019-06-12 04:34 - 000000589 ____C C:\Users\ГлБух\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ — копия — копия.txt
AlternateDataStreams: C:\Users\Бух\Альвина.jpeg.EnCiPhErEd:3or4kl4x13tuuug3Byamue2s4b [81]
AlternateDataStreams: C:\Users\Бух\Альвина.jpeg.EnCiPhErEd:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
HKLM\...\StartupApproved\StartupFolder: => "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"
HKLM\...\StartupApproved\Run32: => "Alcmeter"
FirewallRules: [{BACE8DB2-9A2A-41A6-9103-017E8769D8FB}] => (Allow) C:\Users\Бух\Downloads\AnyDesk(1).exe => Нет файла
FirewallRules: [{876DC8F4-5577-4FB2-A85D-707853C9A0E9}] => (Allow) C:\Users\Бух\Downloads\AnyDesk(1).exe => Нет файла
FirewallRules: [{9186DA4E-CAA6-4E58-8732-13CD5A48BE18}] => (Allow) C:\Users\Бух\Downloads\AnyDesk(1).exe => Нет файла
FirewallRules: [{32D99AEE-BCF4-4D5A-85A4-21D0C0343EF4}] => (Allow) C:\Users\Бух\Downloads\AnyDesk(1).exe => Нет файла
FirewallRules: [{18EB444A-A32D-41C1-851C-D5842D24382A}] => (Allow) C:\Users\Бух\Downloads\AnyDesk(1).exe => Нет файла
FirewallRules: [{C9793E5A-1DD6-45AF-9427-EFFB8B467243}] => (Allow) C:\Users\Бух\Downloads\AnyDesk(1).exe => Нет файла
FirewallRules: [{2BBBDCEB-7D5B-4BAE-AEAF-62C1B6F0A71C}] => (Allow) %SystemDrive%\UTM\transporter\bin\daemon.exe => Нет файла
FirewallRules: [{439699BF-6B7B-49FF-95A7-792BB2E27875}] => (Allow) %SystemDrive%\UTM\transporter\bin\daemon.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Дмитрий Романович]

Пользователи будут удалены. 
Вот лог 

Fixlog.txt

[thyrex]

С расшифровкой должен помочь https://www.emsisoft.com/ransomware-decryption-tools/xorist