Незаконченное шифрование форком Trojan.Encoder.858

[qoma]

Здравствуйте. В инструкции не нашел как правильно поступить в моем случае, поэтому прошу задать путь, куда идти.
Суть произошедшего:
компьютер словил через почту вирус, владелица заметила (через какое-то время, около нескольких часов), что файлы зашифрованы. Компьютер был отключен от сети. Загружен с флешки. На рабочем столе зашифрованные файлы типа "кашаизсимволов".breaking_bad. Однако, типичного файла README1.txt на рабочем столе нет. Есть только *.bmp с требованием выкупа (черный фон, красные буквы). Тип вируса мной определен по схожим признакам (с небольшими вариациями, к примеру, нет файлов с расширением heizenberg) случая, с которым я обращался в ТП Dr.Web. Там мне сообщили, что это 858 и не поддается расшифровке. В том случае пришлось заплатить 10 000. Прислали decryptor и key.txt. Чем плох этот случай - весь цикл задач не выполнен. Нет никакого требования (README), UID зараженного компа и нет электронки куда писать, чтобы расшифроваться. К тому же, часть файлов не зашифровано (doc, docx). То ли Dr.Web в какой-то момент нарушил работу вируса, то ли руки очередного "гения" неправильно собрали вирус.
Суть вопроса:
где такой вид шифровальщиков хранит RSA private key? Есть надежда что он не успел его затереть нулями. Надеюсь не в оперативе
поскольку компьютер загружен с флешки (в надежде на восстановление ключа), можно ли каким-то образом выполнить требования инструкции?
Спасибо.

[Info_bot]

Уважаемый(ая) qoma, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Сделайте образ автозапуска uVS с Live CD, только образ диска скачайте отсюда: WINPE60_UVS3.86.ISO.

[qoma]

Добрый день. Прилагаю.

[Vvvyg]

Загрузите файл со скриптом отсюда, сохраните на внешний носитель.
Аналогично созданию полного образа автозапуска для неактивной системы грузитесь с того же носителя, открывайте неактивную систему, далее меню Скрипты -> Dыполнить скрипт из файла...
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

[qoma]

К сожалению, папка с зоопарком пуста. Высылаю лог (вроде тот что надо).

[Vvvyg]

Шифровальщик прибит, можно работать в обычном режиме.

Сделайте лог сканирования МВАМ.

[qoma]

Спасибо. А данные-то не вернуть? Может поискать где-то приватный ключ?

[Vvvyg]

Попробуйте в "предыдущих версиях", если теневые копии не убиты, поискать.