Зашифровались файлы (расширение .BIG2)

[SpitRider7]

Здравствуйте! Сегодня, придя домой, обнаружил на ноутбуке зашифрированными большинство моих фотографий и документов, расширение поменялось на .BIG2.
В каждой папке с зашифрированными файлами лежит также файл how_to_back_files.html с таким содержанием:
Image 1;14-03-2018.png

На ноутбуке в этот день я ничего не скачивал с интернета, разве что он целый день был подключен с помощью TeamViewer к другому компьютеру. Из странного за сегодня, во время удаленной работы, заметил только что один раз ноутбук внезапно заблокировался и появилась заставка входа в учетную запись как будто после режима сна.

Придя домой и заметив все это, я сразу, не виключая ноутбук, почистил руками подозрительные процесы и удалил связанные с ними файлы на диске, потом еще прошелся программами Malwarebytes, HitmanPro и CCleaner.

Взгляните пожалуйта на мои логи. Меня интересуют 2 вопроса:
1) Полностью ли я удалил остатки вируса-вымогателя?
2) Существует ли декриптор для .BIG2? Что я могу сделать сейчас с зашифрированными файлами?

Искреннее надеюсь на Вашу помощь, Роман.

[Info_bot]

Уважаемый(ая) SpitRider7, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Пример зашифрованного файла вместе с файлом сообщения вымогателей прикрепите в архиве к следующему сообщению.

+ Скачайте Farbar Recovery Scan Tool [img=https://i.imgur.com/NAAC5Ba.png] и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/*]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img=https://i.imgur.com/3munStB.png]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[SpitRider7]

Сделано

[thyrex]

Это GlobeImposter2 и расшифровки нет.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
BHO-x32: No Name -> {92EF2EAD-A7CE-4424-B0DB-499CF856608E} -> No File
Toolbar: HKU\S-1-5-21-1902997939-3677949370-1843762052-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
CHR HKU\S-1-5-21-1902997939-3677949370-1843762052-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1902997939-3677949370-1843762052-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aaaanijiojpcccpkjdjjmjghddcgcbfj] - C:\Users\Administrator\AppData\Local\APN\GoogleCRXs\aaaanijiojpcccpkjdjjmjghddcgcbfj_7.17.0.0.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [clpdgmdkdnijjbgmnajolnbnjejoeogm] - hxxps://clients2.google.com/service/update2/crx
S4 Framework; "C:\ProgramData\WindowsSQL\System.exe" [X] <==== ATTENTION
2018-03-14 19:29 - 2018-03-14 19:29 - 000005424 _____ C:\Users\Administrator\AppData\Roaming\how_to_back_files.html
2018-03-14 19:28 - 2018-03-14 19:28 - 000005424 _____ C:\Users\Administrator\Desktop\how_to_back_files.html
2018-03-14 19:27 - 2018-03-14 19:27 - 000005424 _____ C:\Users\Administrator\how_to_back_files.html
2018-03-14 19:27 - 2018-03-14 19:27 - 000005424 _____ C:\Users\Administrator\Documents\how_to_back_files.html
2018-03-14 18:43 - 2018-03-14 18:43 - 000005424 _____ C:\Users\Public\Desktop\how_to_back_files.html
2018-03-14 18:43 - 2018-03-14 18:43 - 000005424 _____ C:\Users\Lily\how_to_back_files.html
2018-03-14 18:43 - 2018-03-14 18:43 - 000005424 _____ C:\Users\Lily\Downloads\how_to_back_files.html
2018-03-14 18:43 - 2018-03-14 18:43 - 000005424 _____ C:\Users\Lily\Documents\how_to_back_files.html
2018-03-14 18:43 - 2018-03-14 18:43 - 000005424 _____ C:\Users\Lily\Desktop\how_to_back_files.html
2018-03-14 18:43 - 2018-03-14 18:43 - 000005424 _____ C:\Users\Lily\AppData\Local\how_to_back_files.html
2018-03-14 18:43 - 2018-03-14 18:43 - 000005424 _____ C:\Users\Default\how_to_back_files.html
2018-03-14 18:43 - 2018-03-14 18:43 - 000005424 _____ C:\ProgramData\how_to_back_files.html
2018-03-14 18:39 - 2018-03-14 18:39 - 000005424 _____ C:\Users\Public\how_to_back_files.html
2018-03-14 18:39 - 2018-03-14 18:39 - 000005424 _____ C:\Users\Public\Downloads\how_to_back_files.html
2018-03-14 18:39 - 2018-03-14 18:39 - 000005424 _____ C:\Users\Public\Documents\how_to_back_files.html
2018-03-14 18:39 - 2018-03-14 18:39 - 000005424 _____ C:\Users\how_to_back_files.html
2018-03-15 08:40 - 2018-03-15 08:40 - 000000000 _____ () C:\Users\Administrator\AppData\Local\Temp\1.dll
2018-03-15 08:40 - 2018-03-15 08:40 - 000000000 _____ () C:\Users\Administrator\AppData\Local\Temp\1.exe
ContextMenuHandlers1: [UnLockerMenu] -> {A6FF0E3A-8437-482C-8E04-4F9E15C57538} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} =>  -> No File
Task: {8E62A8AA-5B47-4495-92CB-2D083546D0AB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {A3CA04C4-43E0-4F90-8485-B298D5A4600E} - \Microsoft\Windows\Setup\gwx\runappraiser -> No File <==== ATTENTION
Task: {F383C217-503D-4A31-BEF9-82DEB50C8EBF} - \Maxthon Update -> No File <==== ATTENTION
MSCONFIG\Services: Framework => 2
MSCONFIG\Services: MinerGate => 2
MSCONFIG\startupreg: 6b72c5806417558f5561d71cec03e1876abd8c669967f7a7 => 
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[SpitRider7]

thyrex, если не сложно, ответьте, пожалуйста, попутно еще на 2 вопроса:
1) Я пробовал также восстановить файлы с помощью Stellar Phoenix Windows Data Recovery - дата на файлах поменялась на старую, но они так и остались зашифрованными. Shadow Exlorer тоже был бессилен - на ноутбуке не создавались теневые копии файлов. Я так понимаю, пробовать еще подобный софт сейчас уже бессмысленно?

2) Существует ли вероятность того, что заражение произошло во время сессии TeamViewer, бывали ли подобные случаи? Файлы между компьютерами не передавались, да и компьютер, с которого велось управление, должен быть безопасный, он расположен в большой IT-фирме и был настроен опытными специалистами.

Спасибо.

- - - - -Добавлено - - - - -

Еще, не знаю имеет ли это какое-нибудь отношение к проблемме, я нашел в папке C:\Users\Public файл с интересным названием
6C3A9BD68ECF74E53B20D067A4CACB896A9CCA3A61FB993B0E C5FC23F4C1C0BB
со временем создания примерно соответствующем времени шифровки файлов