Нужна помощь - зашифрованы файлы. Trojan-Ransom.Win32.Cryakl.g [Trojan.Win32.Fsysna.acef ]

Здравствуйте.
Пришло письмо о повестке в суд, в нем архив, в архиве .scr-файл (на сколько понимаю - дроппер). Открыл.
При открытии происходит запись в авторан исполняемого файла, после перезагрузки в несколько потоков идёт шифрование файлов (doc, xls, jpg, pdf - 1с не проверял) и раскидывается по папкам ИНФОРМАЦИЯ_О_ДЕШИФРОВКЕ_ФАЙЛОВ.txt-файл с содержанием:

[HTML]Внимание! Ваши файлы зашифрованы, если хотите восстаровить все файлы пишин на почту:[email protected]

на почту надо сообщить этот: {FNSXDHLPWAEIMQUYCHLPTXAEIMQVZDHLPTXA-27.05.2014 11:54:516829748} ID без его знания дешифровка будет не возможна,

Внимание, у вас есть 1 неделя что-бы сообщить свой ID мне на почту, по прошествии этого срока

ключ от ваших файлов будет удален из моей базы.[/HTML]



При шифровке код файла меняется в нескольких местах: в начале, конце и несколько раз по всему файлу. Отрабатывает локально, т.е. не трогает сетевые файлы.
MSE тихо промолчал, при скане не видит там ничего страшного.
Логи прикрепил.
Вложение к письму осталось. Если нужно - могу прислать.

Уважаемый(ая) [B]Artyomka[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\winrar_update\winrar.exe','');
DelCLSID('{8PG68566-I51I-HCQ3-23W0-81EE823BUY80}');
QuarantineFile('C:\install\CR0293~1.DEC\CR029382.scr','');
QuarantineFile('C:\install\install\taskmgr.exe','');
DeleteFile('C:\install\install\taskmgr.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HKCU');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','HKLM');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
DeleteFile('C:\Program Files\winrar_update\winrar.exe','32');
DeleteFileMask('C:\Program Files\winrar_update', '*', true);
DeleteDirectory('C:\Program Files\winrar_update');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Удалите в МВАМ (поместите в Карантин) всё, кроме
[CODE]Processes: 1
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 1808, , [36d9ef657308fe38ffb18ec402fe35cb]

Files: 13
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [36d9ef657308fe38ffb18ec402fe35cb],[/CODE]

Сделайте новые логи

Здравствуйте.
Спасибо за помощь.
Прикрепляю новые логи.
Шансы на восстановление файлов есть?

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

[quote="Artyomka;1120046"]Шансы на восстановление файлов есть?[/quote]Без оригинального дешифратоора - никаких

Здравствуйте, [B]thyrex[/B].
Извините, перефразирую вопрос: если не заплатить денег - то расшифровать не получится никак?

[quote="Artyomka;1120392"]если не заплатить денег[/quote]злоумышленнику? Да. Увы

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\install\install\taskmgr.exe - [B]Trojan.Win32.Fsysna.acef[/B][/LIST][/LIST]