Вирус зашифровал файлы! Помогите их расшифровать! [Trojan-Ransom.Win32.Shade.owd]

Здравствуйте! Типичная ситуация.. пришло письмо на почту от приставов. Вот девушка и испугалась прочла. Теперь все данные зашифрованы. Вирус удалась искоренить, но все данные зашифрованы. Есть ли шанс их расшифровать? Помогите!
Прикладываю лог файл а также в архиве 1.rar оригинал и зашифрованный файл.

Проанализировал вирус на сайте VirusTotal

[TABLE="class: table table-striped, width: 100%"]
[TR]
[TH="class: header headerSortDown vt-width-30, align: left"]Антивирус[/TH]
[TH="class: header, align: left"]Результат[/TH]
[TH="class: header, align: left"]Дата обновления[/TH]
[/TR]
[TR]
[TD="class: ltr, bgcolor: #F9F9F9"]Arcabit[/TD]
[TD="class: ltr text-red, bgcolor: #F9F9F9"]Trojan.Generic.D26A72A3[/TD]
[TD="class: ltr, bgcolor: #F9F9F9"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr"]Avira (no cloud)[/TD]
[TD="class: ltr text-red"]TR/AD.MalwareCrypter.tdlfg[/TD]
[TD="class: ltr"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr, bgcolor: #F9F9F9"]BitDefender[/TD]
[TD="class: ltr text-red, bgcolor: #F9F9F9"]Trojan.GenericKD.40530595[/TD]
[TD="class: ltr, bgcolor: #F9F9F9"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr"]Cyren[/TD]
[TD="class: ltr text-red"]W32/Trojan.VRTC-0521[/TD]
[TD="class: ltr"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr, bgcolor: #F9F9F9"]DrWeb[/TD]
[TD="class: ltr text-red, bgcolor: #F9F9F9"]Trojan.Encoder.858[/TD]
[TD="class: ltr, bgcolor: #F9F9F9"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr"]Emsisoft[/TD]
[TD="class: ltr text-red"]Trojan.GenericKD.40530595 (B)[/TD]
[TD="class: ltr"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr, bgcolor: #F9F9F9"]ESET-NOD32[/TD]
[TD="class: ltr text-red, bgcolor: #F9F9F9"]a variant of Win32/Kryptik.GLDE[/TD]
[TD="class: ltr, bgcolor: #F9F9F9"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr"]F-Secure[/TD]
[TD="class: ltr text-red"]Trojan.GenericKD.40530595[/TD]
[TD="class: ltr"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr, bgcolor: #F9F9F9"]Fortinet[/TD]
[TD="class: ltr text-red, bgcolor: #F9F9F9"]W32/Kryptik.GLDE!tr[/TD]
[TD="class: ltr, bgcolor: #F9F9F9"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr"]GData[/TD]
[TD="class: ltr text-red"]Trojan.GenericKD.40530595[/TD]
[TD="class: ltr"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr, bgcolor: #F9F9F9"]Ikarus[/TD]
[TD="class: ltr text-red, bgcolor: #F9F9F9"]Trojan-Banker.Ramnit[/TD]
[TD="class: ltr, bgcolor: #F9F9F9"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr"]Sophos ML[/TD]
[TD="class: ltr text-red"]heuristic[/TD]
[TD="class: ltr"]20180717[/TD]
[/TR]
[TR]
[TD="class: ltr, bgcolor: #F9F9F9"]K7AntiVirus[/TD]
[TD="class: ltr text-red, bgcolor: #F9F9F9"]Trojan ( 0053d60a1 )[/TD]
[TD="class: ltr, bgcolor: #F9F9F9"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr"]K7GW[/TD]
[TD="class: ltr text-red"]Trojan ( 0053d60a1 )[/TD]
[TD="class: ltr"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr, bgcolor: #F9F9F9"]Kaspersky[/TD]
[TD="class: ltr text-red, bgcolor: #F9F9F9"]Trojan-Ransom.Win32.Shade.owd[/TD]
[TD="class: ltr, bgcolor: #F9F9F9"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr"]MAX[/TD]
[TD="class: ltr text-red"]malware (ai score=88)[/TD]
[TD="class: ltr"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr, bgcolor: #F9F9F9"]McAfee[/TD]
[TD="class: ltr text-red, bgcolor: #F9F9F9"]Artemis!315300364674[/TD]
[TD="class: ltr, bgcolor: #F9F9F9"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr"]Microsoft[/TD]
[TD="class: ltr text-red"]Ransom:Win32/Troldesh.A[/TD]
[TD="class: ltr"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr, bgcolor: #F9F9F9"]eScan[/TD]
[TD="class: ltr text-red, bgcolor: #F9F9F9"]Trojan.GenericKD.40530595[/TD]
[TD="class: ltr, bgcolor: #F9F9F9"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr"]NANO-Antivirus[/TD]
[TD="class: ltr text-red"]Trojan.Win32.Kryptik.fiivva[/TD]
[TD="class: ltr"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr, bgcolor: #F9F9F9"]Rising[/TD]
[TD="class: ltr text-red, bgcolor: #F9F9F9"]Ransom.Shade!8.12CC (CLOUD)[/TD]
[TD="class: ltr, bgcolor: #F9F9F9"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr"]Sophos AV[/TD]
[TD="class: ltr text-red"]Mal/Generic-S[/TD]
[TD="class: ltr"]20180928[/TD]
[/TR]
[TR]
[TD="class: ltr, bgcolor: #F9F9F9"]Symantec[/TD]
[TD="class: ltr text-red, bgcolor: #F9F9F9"]Trojan.Gen.NPE[/TD]
[TD="class: ltr, bgcolor: #F9F9F9"]20180928[/TD]
[/TR]
[/TABLE]

Уважаемый(ая) [B]serzh-68[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

С расшифровкой не сможем помочь.

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://istart.webssearches.com/?type=hp&ts=1399627818&from=amt&uid=TOSHIBAXMK7559GSXP_51U1D1MSBXX51U1D1MSB
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://istart.webssearches.com/web/?type=ds&ts=1399627818&from=amt&uid=TOSHIBAXMK7559GSXP_51U1D1MSBXX51U1D1MSB&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://istart.webssearches.com/web/?type=ds&ts=1399627818&from=amt&uid=TOSHIBAXMK7559GSXP_51U1D1MSBXX51U1D1MSB&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://istart.webssearches.com/web/?type=ds&ts=1399627818&from=amt&uid=TOSHIBAXMK7559GSXP_51U1D1MSBXX51U1D1MSB&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://istart.webssearches.com/web/?type=ds&ts=1399627818&from=amt&uid=TOSHIBAXMK7559GSXP_51U1D1MSBXX51U1D1MSB&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827} [URL] = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF - Ask.com
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} [URL] = http://istart.webssearches.com/web/?type=ds&ts=1399627818&from=amt&uid=TOSHIBAXMK7559GSXP_51U1D1MSBXX51U1D1MSB&q={searchTerms} - webssearches
O4 - MSConfig\startupreg: Client Server Runtime Subsystem [command] = C:\ProgramData\Windows\csrss.exe (file missing) (HKCU) (2018/09/21)
O21 - HKLM\..\ShellIconOverlayIdentifiers: AccExtIco1 - - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: AccExtIco2 - - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: AccExtIco3 - - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)
[/CODE]


AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Phenom960\appdata\local\oneclick\oneclickbandhandler.64.exe','');
QuarantineFile('C:\Users\Phenom960\appdata\local\oneclick\oneclickapp.64.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Windows\system32\drivers\ghwrzmtf.sys','');
QuarantineFile('C:\Windows\system32\drivers\cevxtpdv.sys','');
QuarantineFile('C:\Windows\system32\drivers\ceuzbdsm.sys','');
QuarantineFile('C:\Windows\system32\drivers\biwbevwr.sys','');
QuarantineFile('71313225.sys','');
QuarantineFile('C:\Windows\System32\ezSharedSvcHost.exe','');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.

Вирус на ПК удалил. Вложил вирус из источника по ссылке "Прислать запрошенный карантин" , как только создал тему.

Выполняли выше указанные инструкции?

[QUOTE=SQ;1489350]Выполняли выше указанные инструкции?[/QUOTE]

Нет. Работал удаленно, а позже не было возможности. Как мне стало известно, с дешифрацией пролет... Восстановление информации через Shadow Explorer успехом не увенчалось. Планируется восстановить систему до заводских настроек, т.к. были затронуты не только личные документы и файлы, но и компоненты некоторых важных программ.

Нашими силами мы не поможем, но есть шанс через антивирусных вендров, если есть лицензия пробуйте написать в тех. поддержку.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \scan731.scr - [B]Trojan-Ransom.Win32.Shade.owd[/B] ( AVAST4: Win32:Malware-gen )[/LIST][/LIST]