Шифровальщик .cbf [Trojan-Ransom.Win32.Crypmod.vka ]

Здравствуйте уважаемые гуру!
В пришедшем письме якобы от Судебные приставы <[email protected]> [[email protected]] (как выяснилось позднее письмо пришло от host-240-200.smolensk.ttk-centre.ru (unknown [213.137.240.200])) была открыта ссылка на документ [удалено] внутри которого оказался файл Уведомление о начале судебного разбирательства.xlsx.exe - запуск привел к ошибке, но процесс с аналогичным названием все же появился в диспетчере задач ( завершил его в ручную через несколько минут). Так же в автозагрузке было выявлено приложение Burnamedoxi со ссылкой на C:\Program Files (x86)\Уведомление о начале судебного разбирательства.xlsx там же обнаружен файл JCQAKIFQAC.GDC (оба файла добавил в ручном режиме в карантин Avast internet security - не смотря на свежие базы и все включенные экраны Avast абсолютно ничего нее сообщил). В результате пострадало несколько каталогов с фотографиями и видеозаписями на диске D, большую часть удалось спасти копированием на шару. Пострадавшие файлы имеют вид [EMAIL="[email protected]"][email protected][/EMAIL]-CL 0.0.1.0.id-VWXXYYZAABCCCDDEFFGGGHHIJJKLLLMMNOOP-16.06.2015 [email]10@[email protected][/email]
Имеется возможность произвести восстановление системы, но диск D не попадает под защиту системы.
Пришедшее письмо сохранилось. Архив уделен. Все что появилось на диске C тоже пока не трогал.
Логи прилагаю, если что-то не так собралось, то готов повторить операцию после перезагрузки ПК (пришлось запускать программу avz4 несколько раз без перезагрузки ПК, т.к в этот момент делался полный бэкап системы средствами Veeam Endpoin Backup).

Большая просьба помочь, конечно же по возможности, буду весьма Вам признателен.

Уважаемый(ая) [B]Pavel_nsk_54[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Благодарю за отклик. Запрошенные файлы прилагаю.

[B]C:\Program Files (x86)\Уведомление о начале судебного разбирательства.xlsx.exe[/B] заархивируйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] над первым сообщением в Вашей теме.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
HKU\S-1-5-21-2657420097-1217694248-2046170969-1001\...\Run: [AdobeBridge] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-2657420097-1217694248-2046170969-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
2015-06-16 10:35 - 2015-06-16 10:35 - 00682487 _____ (flash ) C:\Program Files (x86)\Уведомление о начале судебного разбирательства.xlsx.exe
2015-06-16 10:35 - 2015-06-16 10:35 - 00000082 _____ C:\Program Files (x86)\JCQAKIFQAC.GDC
AlternateDataStreams: C:\ProgramData\Temp:06178D1C
AlternateDataStreams: C:\ProgramData\Temp:3E7393FC
AlternateDataStreams: C:\ProgramData\Temp:81F83028
AlternateDataStreams: C:\Users\Все пользователи\Temp:06178D1C
AlternateDataStreams: C:\Users\Все пользователи\Temp:3E7393FC
AlternateDataStreams: C:\Users\Все пользователи\Temp:81F83028
Reboot:
[/code]
[list][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

Запрошенный карантин прислал!
Процедуру Fix выполнил, спасибо, логи прилагаю.
С расшифровкой сможете помочь в Помощь+ ? Имеется полный образ всех данных на момент заражения (выполненный с помощью Veeam Endpoin Backup)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \уведомление о начале судебного разбирательства.xlsx.exe - [B]Trojan-Ransom.Win32.Crypmod.vka[/B] ( AVAST4: Win32:Malware-gen )[/LIST][/LIST]