pay2key Помощь в расшифровке файлов

[Владислав Эпштейн]

Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
Просканировать систему не представляется возможным через программу которая приложена в правилах.
Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
Посоветуйте пожалуйста о дальнейших действиях

[Владислав Эпштейн]

1 час назад, Владислав Эпштейн сказал:

Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
Просканировать систему не представляется возможным через программу которая приложена в правилах.
Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
Посоветуйте пожалуйста о дальнейших действиях

Текст вымогателей и образцы зашифрованных файлов прилагаю.

HowToRestoreFiles.rar НаборЗашифрованных Файлов.rar

[safety]

Добавьте, пожалуйста, отчет о сканировании KVRT,

а так же, логи FRST из зашифрованной системы.

[Владислав Эпштейн]

Только что, safety сказал:

Добавьте, пожалуйста, отчет о сканировании KVRT,

а так же, логи FRST из зашифрованной системы.

Подскажите, где их взять и как просканировать через FRST отдельно диск? Так как ОС с заражённого диска более не загружается, по этому все манипуляции воспроизводились на отдельной чистой ОС без подключения к интернету.
 

[safety]

В 07.08.2025 в 17:12, Владислав Эпштейн сказал:

Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 

Отчет KVRT размещен на устройстве откуда вы его запускали, в папке KVRT*_DATA

C:\KVRT2020_Data\

Изменено Пятница в 15:03 пользователем safety

[Владислав Эпштейн]

В 08.08.2025 в 00:03, safety сказал:

Отчет KVRT размещен на устройстве откуда вы его запускали, в папке KVRT*_DATA

C:\KVRT2020_Data\

Вот файлы репорта, файлы карантина не умещаются по максимальному размеру по отправке.

Reports.rar

[safety]

Судя по отчету папка с телом самого шифровальщика не найдена, только установщик.

            <Event2 Action="Detect" Time="133990313599522976" Object="D:\Users\user\AppData\Roaming\encryptor.exe" Info="Trojan-Ransom.Win32.Mimic.av" />

 

проверьте, есть ли такая папка на системном диске зашифрованного устройства:

C:\Users\user\AppData\Local

в этой папке должен быть скрытый каталог примерно с таким шаблоном имени

BEE6758E-F327-E2B2-61BC-F522FEE8BC0C

Если такая папка есть, заархивируйте папку с паролем virus, добавьте архив в ваше сообщение.

Изменено 3 часа назад пользователем safety

[Владислав Эпштейн]

22 минуты назад, safety сказал:

Судя по отчету папка с телом самого шифровальщика не найдена, только установщик.

            <Event2 Action="Detect" Time="133990313599522976" Object="D:\Users\user\AppData\Roaming\encryptor.exe" Info="Trojan-Ransom.Win32.Mimic.av" />

 

проверьте, есть ли такая папка на системном диске зашифрованного устройства:

C:\Users\user\AppData\Local

в этой папке должен быть скрытый каталог примерно с таким шаблоном имени

BEE6758E-F327-E2B2-61BC-F522FEE8BC0C

Ни в Local ни в Temp примерного не вижу, сделал фото

[safety]

Логи FRST можете сделать из этой системы? активного шифрования в ней нет уже. Заодно и систему дочистим.

Обратите внимание, что папка может быть с атрибутом скрытый, и у вас может быть в проводнике не видна.

Изменено 3 часа назад пользователем safety

[Владислав Эпштейн]

Только что, safety сказал:

Логи FRST можете сделать из этой системы? активного шифрования в ней нет уже. Заодно и систему дочистим.

К сожалению система не стартует после зачистки KVRT по этому и продолжаю использовать диск установленный в хабе по usb.
Сейчас попробую запустить через "костыль"

[safety]

4 минуты назад, Владислав Эпштейн сказал:

К сожалению система не стартует после зачистки KVRT

судя по тем детектам и очистке файлов, которые есть в отчете KVRT - данная очистка не не должна быть причиной проблемы с загрузкой системы. Что то другое.

Пробуйте в безопасный режим с поддержкой сети загрузить ее.

Изменено 3 часа назад пользователем safety

[Владислав Эпштейн]

1 минуту назад, safety сказал:

судя по тем детектам и очистке файлов, которые есть в отчете KVRT - данная очистка не не должна быть причиной проблемы с загрузкой системы. Что то другое.

Запустилось, только после того как подкинул костыль в загрузчик. Мне безопасно вставлять флешки на эту систему? Потому что пишу с машины которая напрямую связана сервером, не очень хотелось бы подвергать опасности всю работу

[safety]

Думаю, да. Шифровальщик не должен быть активен. Можете так же проверить есть ли подозрительные процессы на зашифрованном устройстве, прежде чем подключить флэшку.

Изменено 3 часа назад пользователем safety

[Владислав Эпштейн]

6 минут назад, safety сказал:

Думаю, да. Шифровальщик не должен быть активен.

 

Addition.txt FRST.txt

[safety]

Эта папка о которой я писал выше. Она не в *Temp, а просто в *Local, и имеет скрытый атрибут.

Цитата

2025-08-04 11:55 - 2024-09-25 03:50 - 000000000 __SHD C:\Users\user\AppData\Local\CBCC2F73-486B-99BF-77E7-15F0E0C2CC5E

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [browser.exe] => C:\Users\user\AppData\Local\HowToRestoreFiles.txt [4086 2025-08-04] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] All your files have been stolen! You still have the original files, but they have been encrypted.
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\InstallAgent.exe: [Debugger] *
IFEO\MusNotification.exe: [Debugger] *
IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
IFEO\remsh.exe: [Debugger] *
IFEO\SIHClient.exe: [Debugger] *
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UPFC.EXE: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IsReadOnly.vbs [2025-06-23] () [Файл не подписан]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-08-04 11:39 - 2025-08-04 11:39 - 000000000 ____D C:\temp
2025-08-04 10:49 - 2025-08-04 10:49 - 000000000 ____D C:\ProgramData\Avast Software
2025-08-04 11:55 - 2024-09-25 03:50 - 000000000 __SHD C:\Users\user\AppData\Local\CBCC2F73-486B-99BF-77E7-15F0E0C2CC5E
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 2 часа назад пользователем safety