Шифровальщик в письме

Добрый день, предположительно запустили из почты шифровальщика(скачали и запустили с файлообменника файл 30EKJker). часть файлов после это не открывается выдает ошибку что формат не поддерживается, или например Excel открывает файл как бы с битой кодировкой.

В корне папки появился текстовый файл с названием README_vbdqp5z1llf0.txt с требованием оплаты.
Писмо пришло под видом рассылки от Российский союз промышленников и предпринимателей <[email protected]>, в нем ссылка на файл:
[[COLOR="#FF0000"]удалено[/COLOR]].
Есть ли шанс расшифровать файлы?

Уважаемый(ая) [B]bistro[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!


[quote="bistro;1513911"]текстовый файл с названием README_vbdqp5z1llf0.txt[/quote]
Этот файл вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

Дополнительно:
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

в архиве два разных типа файла.

Тип вымогателя похож на Decr1pt, расшифровки нет, к сожалению.

[QUOTE=Sandor;1513919]Тип вымогателя похож на Decr1pt, расшифровки нет, к сожалению.[/QUOTE]
Печально, а в системе его больше нет? Я прошёлся Касперским сразу после того как сообщили о шифровании файлов.

[QUOTE]
C:\Users\user\AppData\Roaming\user\tor.exe
C:\Users\user\AppData\Roaming\user\node.exe
C:\Users\user\AppData\Roaming\user\service
[/QUOTE]
Эта папка и файлы вам известны?

[QUOTE=Sandor;1513924]Эта папка и файлы вам известны?[/QUOTE]
Нет, не знакомы.

[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
CreateRestorePoint:
() [File not signed] C:\Users\user\AppData\Roaming\user\tor.exe
(Node.js Foundation -> Node.js) C:\Users\user\AppData\Roaming\user\node.exe
HKLM-x32\...\RunOnce: [{7A47EA25-73D3-4449-B452-75BD4EF49F3A}] => C:\Users\admin\AppData\Local\Temp\{68E66F33-AECE-4E78-AF7E-5C2028F929D4}\{7A47EA25-73D3-4449-B452-75BD4EF49F3A}.cmd [ ] <==== ATTENTION
HKU\S-1-5-21-53156107-587950410-1039258672-1001\...\Run: [Update] => "C:\Users\user\AppData\Roaming\user\node" "C:\Users\user\AppData\Roaming\user\service"
HKU\S-1-5-21-53156107-587950410-1039258672-1001\...\MountPoints2: {987a933d-c3d9-11e9-9f41-e03f49499734} - E:\start.exe
C:\Users\user\AppData\Roaming\user\
FirewallRules: [{F58B0801-CB15-4AFF-A0D7-2D26EC384CA4}] => (Allow) LPort=3702
FirewallRules: [{CC9FFC40-B0A7-4F6E-A681-8CE3FFCBEB64}] => (Allow) LPort=9244
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Fix[/B] один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.

после этого еще чем то еще нужно сканировать комп на всякий случай?

Компьютер перезагружался после выполнения скрипта?

да, перезагрузился.

Давайте ещё так посмотрим:
[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url]

[QUOTE=Sandor;1513948]Давайте ещё так посмотрим:
[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url][/QUOTE]
готово

Подозрительного больше не видно.

Проверьте уязвимые места:
[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]

готово.

------------------------------- [ Windows ] -------------------------------
[color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color]
Internet Explorer 11.0.9600.19377 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4537820]Скачать обновления[/url][/b][/color]
[color=blue][b]^Используйте [b][url=https://aka.ms/diag_wu]Средство устранения неполадок[/url][/b] при проблемах установки^[/b][/color]
Контроль учётных записей пользователя [b]включен[/b]
Запрос на повышение прав для администраторов [color=red][b]отключен[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
------------------------------- [ HotFix ] --------------------------------
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.2 v.4.7.03062 [color=red][b]Внимание! [url=https://dotnet.microsoft.com/download/dotnet-framework/net48]Скачать обновления[/url][/b][/color]
Ghostscript GPL 8.64 (Msi Setup) v.8.64 [color=red][b]Внимание! [url=https://ghostscript.com/download/gsdnld.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию, скачайте и установите новую.^[/b][/color]
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
7-Zip 18.05 v.18.05 [color=red][b]Внимание! [url=https://www.7-zip.org/download.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию, скачайте и установите новую.^[/b][/color]
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 27 ActiveX v.27.0.0.130 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 27 NPAPI v.27.0.0.130 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 27 PPAPI v.27.0.0.130 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe]Скачать обновления[/url][/b][/color]
------------------------------- [ Browser ] -------------------------------
Yandex v.20.7.3.101 [color=red][b]Внимание! [url=https://download.cdn.yandex.net/browser/yandex/ru/Yandex.exe]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Дополнительно - О браузере Yandex!^[/b][/color]
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.0.5.0038 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1901 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Хотфиксы постарайтесь все установить.
Читайте [URL="http://virusinfo.info/showthread.php?t=121902"][b]Советы и рекомендации после лечения компьютера.[/b][/URL]

Большое спасибо за помощь!