Помогите победить шифровальщика

Добрый день!

В среду пришло письмо с вложением "invoice_62388242_copy.doc" письмо было октрыто и большинство файлов на локальных и пришаренных дисках стало поменяло расширение на *.vvv большинство папок заполнилось файлами how_recover+*.* с информацией.

Я сложил файлы в архив, пароль 123
Зараженный документ: invoice_62388242_copy.doc (в jotti на него ругается только касперский Trojan-Downloader.MSWord.Agent.xv)
Зашифрованный документ: ACT 52-2015.pdf.vvv
Тот же документ до шифрования: ACT 52-2015.pdf
Странички с информацией вымогателей в папке how_recover.
[url]https://cloud.mail.ru/public/Lq9U/grRnt6QT4[/url]

К сожалению файл вируса находившийся c:\users\kurtyo\appdata\roaming\xidfwacroic.exe по всей видимости самоудалился, пытался достать его с помощью rstudio то же безрезультатно.
Информацию нашел по похожему вирусу на сайте дрвеба, но там нет ничего про шифрование. Скарирование с помощью cureit то же положительного результата не дало - он ничего не нашел.



Как мне расшифровать файлы??

Логи avz и hijack приложил.

Уважаемый(ая) [B]puri[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

[NOTICE]Внимание !!! База поcледний раз обновлялась 04.09.2015 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.45[/NOTICE]

Обновите базы и переделайте логи. Для 64-битной версии Windows нужно выполнить только 2-й стандартный скрипт в AVZ.

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
DelBHO('{08B0E5C0-4FCB-11CF-AAA5-00401C608501}');
QuarantineFile('C:\Users\kurtyo\AppData\Roaming\xidfwacroic.exe', '');
DeleteFile('C:\Users\kurtyo\AppData\Roaming\xidfwacroic.exe', '32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','santa_svc');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Подготовьте новый лог AVZ.