Решена с расшифровкой. Расшифровка nightmare666@cock.li.ver-CL 1.5.1.0.

[mover]

Лечение не требуется. Приветствуется расшифровка. Если могу, что-то предоставить для помощи будущим жертвам - сделаю.
Прикладываю возможный исполняемый файл шифратора "ru4noi.zip". Надеюсь поможет.

 

[thyrex]

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[akok]

Прикрепите несколько зашифрованных файлов (небольшого размера)

 

[mover]

Готово

 

[thyrex]

Увы, расшифровки нет. Будет только зачистка следов мусора.

Пароль от RDP меняйте на более сложный.

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
2019-06-19 06:48 - 2019-06-19 06:48 - 000000090 _____ C:\README.txt
2019-06-19 06:30 - 2019-06-19 06:48 - 000001287 _____ C:\Users\user\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:48 - 000001287 _____ C:\Users\user\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:48 - 000001287 _____ C:\Users\user\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:48 - 000001287 _____ C:\Users\user\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:48 - 000001287 _____ C:\Users\user\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:48 - 000001287 _____ C:\Users\user\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:48 - 000001287 _____ C:\Users\user\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:48 - 000000090 _____ C:\Users\user\README.txt
2019-06-19 06:30 - 2019-06-19 06:48 - 000000090 _____ C:\Users\user\Downloads\README.txt
2019-06-19 06:30 - 2019-06-19 06:48 - 000000090 _____ C:\Users\user\Documents\README.txt
2019-06-19 06:30 - 2019-06-19 06:48 - 000000090 _____ C:\Users\user\Desktop\README.txt
2019-06-19 06:30 - 2019-06-19 06:48 - 000000090 _____ C:\Users\user\AppData\Roaming\README.txt
2019-06-19 06:30 - 2019-06-19 06:48 - 000000090 _____ C:\Users\user\AppData\README.txt
2019-06-19 06:30 - 2019-06-19 06:48 - 000000090 _____ C:\Users\user\AppData\LocalLow\README.txt
2019-06-19 06:30 - 2019-06-19 06:44 - 000001287 _____ C:\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:30 - 000000090 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-19 06:27 - 2019-06-19 06:28 - 000001287 _____ C:\Users\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Public\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Public\Downloads\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default\Downloads\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default\Documents\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default\Desktop\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default\AppData\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default\AppData\LocalLow\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default User\Downloads\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default User\Documents\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default User\Desktop\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default User\AppData\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default User\AppData\LocalLow\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Program Files\README.txt
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Все пользователи\README.txt
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Public\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Public\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Public\Documents\README.txt
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Public\Desktop\README.txt
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default User\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default User\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default User\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default User\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default User\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default User\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\ProgramData\README.txt
2019-06-19 06:12 - 2019-06-19 06:27 - 000001287 _____ C:\Program Files\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:12 - 000001287 _____ C:\Users\Все пользователи\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:12 - 000001287 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:12 - 000001287 _____ C:\Users\Public\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:12 - 000001287 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:12 - 000000090 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-19 06:12 - 2019-06-19 06:12 - 000000090 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-19 06:12 - 2019-06-19 06:12 - 000000090 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-06-19 06:11 - 2019-06-19 06:43 - 000001287 _____ C:\Program Files\Common Files\README.txt
2019-06-19 06:11 - 2019-06-19 06:27 - 000001287 _____ C:\Program Files\Common Files\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:11 - 2019-06-19 06:12 - 000001287 _____ C:\Users\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[akok]

Подберите пару файлов для анализа, зашифрованный и оригинальный.

 

[mover]

Подберите пару файлов для анализа, зашифрованный и оригинальный.

 

[Sandor]

Вы зашифрованный файл случайно не переименовывали? Попробуйте найти еще такую пару.

 

[mover]

Вы зашифрованный файл случайно не переименовывали? Попробуйте найти еще такую пару.

его переименовало при передаче видимо. другой пары нет. его имя должно быть скорее всего таким:
email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-дизайн.xlsx.doubleoffset

 

[Sandor]

Оригинальный эксель файл под паролем?

 

[mover]

Оригинальный эксель файл под паролем?

Да. Можно открыть для чтения без пароля.

 

[Sandor]

Уже увидел. Проверьте ЛС.

 

[mover]

ПОМИЛКА! Ключ дешифрації не підійшов для файла ("D:\Decryptor\БРИФ - РАЗРАБОТКА САЙТА.docx")

 

[Sandor]

Вероятно тоже имя зашифрованного изменено.

 

[mover]

Вероятно тоже имя зашифрованного изменено.

Нет. Остальные файлы не изменялись. Просто файл с измененным именем отправлялся злоумышленнику в телеграм и там имя обрезало.

 

[Sandor]

Пришлите несколько зашифрованных файлов в архиве.

 

[mover]

Пришлите несколько зашифрованных файлов в архиве.

Выше в сообщении от 19 Июн 2019 есть

 

[thyrex]

В темах, где зашифрованы даже README.txt от вымогателей, готовьтесь искать после расшифровки другие пары.

Файлы из первого сообщения тоже не расшифруются.

 

[mover]

с другой парой файлов получилось расшифровать

 

[Sandor]

В завершение:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.