Данный вирус не только подменяет расширение, но и шифрует сам файл. На данный момент, насколько мне известно, расшифровка если и возможна, то очень сложна.
Из простого - часть файлов можно восстановить из теневой копии из бекапа винды (не путай с файловыми бекапами, по умолчанию в винде оно включено) , например программой ShadowExplorer, если конечно они присутствуют.
Еще расшифровкой занимаются некоторые производители антивирусного обеспечения, но это чаще всего для пользователей с лицензией, да и так что расшифруют
шанс низкий и больше относится уже к довольно неновым вирусам.
З.Ы, если были ценные файлы их конечно можно сохранить и ожидать чуда, что когда-нибудь метод расшифровки по данному вирусу появится.
Также советую прогнать диск каспером, и для полного избавления лучше всего переустановить винду с форматированием, но если кто-то возмется за разбор вируса им могут понадобиться какие-либо файлы, и образцы вируса.
Особо удели внимание файлам в спойлере снизу, они вероятнее всего заражены.
З.Ы.Ы. И да, если нет уверенности в полностью убитом вирусе, - лучше всего работы производить из под другой изолированной системы.
Скрытый текст
AppData\Local\Temp\tmp4E93.tmp.exe HEUR:Trojan.MSIL.Crypt.gen
AppData\Roaming\Lilitch\EXE\Google Chrome.exe HEUR:Trojan.MSIL.Hesv.gen
AppData\Roaming\Lilitch\EXE\Firefox.exe HEUR:Trojan.MSIL.Hesv.gen
AppData\Roaming\Microsoft\Windows\Cookies\Low\perfmon.exe HEUR:Trojan.MSIL.Crypt.gen
Windows\Installer\21fed2.msi HEUR:Trojan.MSIL.Crypt.gen
