Пошифровало файлы, имена не поменялись. Адрес вымогателя совпал.
Подозрительные файлы подгрузил.
drweb.com #4019697
Вирус попал через експлойт в ворде.
Вирус скачался с vps2795.megahoster.net:http и самоликвидировался.
Пытаюсь найти тело шифровщика. Предположительное имя updater.exe