pay2key ШИФРУЕТ ФАЙЛЫ 9F2B

11 августа, 2025

В АРХИВЕ ПРИМЕР ,ЧТО ДЕЛАТЬ?

Release.txt.rar

Сообщение от модератора thyrex

Перенесено в нужный раздел

11 августа, 2025

Здравствуйте.

Выполните Правила оформления запроса о помощи

Прикрепите все необходимое к следующему сообщению в текущей теме, новую тему создавать не нужно.

11 августа, 2025

Здраствуйте, пк не отключал на выходные, сев за него увидел что все файлы одинаковые и не открываются и записка о вымогательстве.

FRST.txt Addition.txt Desktop.rar

Сообщение от модератора thyrex

Темы объединены

11 августа, 2025

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [browser.exe] => C:\Users\Елена Н\AppData\Local\HowToRestoreFiles.txt [3696 2025-08-08] () [Файл не подписан]
HKLM\...\Run: [enc-build.exe] => C:\Users\Елена Н\AppData\Local\HowToRestoreFiles.txt [3696 2025-08-08] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] All your files have been stolen! You still have the original files, but they have been encrypted.
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer_Service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_w32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_x64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
Startup: C:\Users\Елена Н\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\InheritanceFlags.vbs [2025-08-07] () [Файл не подписан]
Startup: C:\Users\Елена Н\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TypeId.vbs [2025-08-07] () [Файл не подписан]
AlternateShell:  <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-08-08 12:07 - 2025-08-08 19:07 - 000003696 _____ C:\Users\Елена Н\AppData\Local\HowToRestoreFiles.txt
2025-08-08 12:07 - 2025-08-08 19:03 - 000000000 ____D C:\temp
2025-08-08 12:06 - 2025-08-08 13:33 - 005351042 _____ (Oleg N. Scherbakov) C:\Users\Елена Н\AppData\Roaming\encryptor.exe
2025-08-09 02:08 - 2024-11-12 07:40 - 000000000 __SHD C:\Users\Елена Н\AppData\Local\BEE6758E-F327-E2B2-61BC-F522FEE8BC0C
2025-08-08 12:06 - 2025-08-08 13:33 - 005351042 _____ (Oleg N. Scherbakov) C:\Users\Елена Н\AppData\Roaming\encryptor.exe
2025-08-07 14:06 - 2025-08-07 14:06 - 001592088 _____ () C:\Users\Елена Н\AppData\Roaming\InheritanceFlags.exe
2025-08-07 14:06 - 2025-04-29 11:08 - 003237144 _____ () C:\Users\Елена Н\AppData\Roaming\TypeId.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 11 августа, 2025 пользователем safety

11 августа, 2025

https://disk.yandex.ru/d/vqFOkYvR8JlVUg

при добавлении в архив заругался дефендр

это не единственный ПК на котором есть зашифрованные файлы

Fixlog.txt

Изменено 11 августа, 2025 пользователем DISPAWN

11 августа, 2025

Скрипт дважды прогоняли? Fixlog.txt так понимаю - это результат повторного выполнения скрипта.

по файлам:

browser.exe

ESET: A Variant Of Win32/Filecoder.Mimic.D.gen

Kaspersky: HEUR:Trojan-Ransom.Win32.Generic

DrWeb: Undetected

https://www.virustotal.com/gui/file/39758214df0b282f4c245094943ee3a8181eb0c18c794ce6356448a0710b645f/detection

encryptor.exe /установщик pay2keys/:

ESET: BAT/Kryptik.AF

Kaspersky: UDS:Trojan-Ransom.Win32.Generic

DrWeb: PowerShell.Dropper.54

https://www.virustotal.com/gui/file/6b1c18e25d7ada0cc5f05862b3429a016b681b610e773cf362f0b0c91dfa4a78?nocache=1

Цитата

при добавлении в архив заругался дефендр

Покажите, пожалуйста, детекты Defender, которые были при архивировании папки карантина FRST

Цитата

это не единственный ПК на котором есть зашифрованные файлы

проверьте, есть ли на этих устройствах папка (она может иметь атрибут скрытый):

BEE6758E-F327-E2B2-61BC-F522FEE8BC0C

или в C:\temp есть ли файл session.tmp размером 32байта.

Изменено 11 августа, 2025 пользователем safety

11 августа, 2025

ДОБАВИЛ ИОБРАЖЕНИЕ ДЕФЕНДЕРА, НЕ НАШОЛ BEE6758E-F327-E2B2-61BC-F522FEE8BC0C

или в C:\temp НЕТ ТАКОЙ ПАПКИ

11 августа, 2025

Да, понятно какие файлы были прибиты дефендером и не попали в архив с карантином.

Если session.tmp нет в папке C:\temp на других устройствах, значит запуска шифровальщика не было на этих устройствах.

Зашифрованы были только файлы которые были в общем доступе. Шифрование было по сети с ПК, где этот запуск был, т.е. на том устройстве, которое мы сегодня зачистили.

+

проверьте ЛС.

11 августа, 2025

Ссылку кинул в личку

11 августа, 2025

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

Общие рекомендации:

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 11 августа, 2025 пользователем safety

pay2key ШИФРУЕТ ФАЙЛЫ 9F2B

Рекомендуемые сообщения

DISPAWN

thyrex

DISPAWN

safety

DISPAWN

safety

DISPAWN

safety

DISPAWN

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum