pay2key ШИФРУЕТ ФАЙЛЫ 9F2B

[DISPAWN]

В АРХИВЕ ПРИМЕР ,ЧТО ДЕЛАТЬ?

Release.txt.rar

 

Сообщение от модератора thyrex

Перенесено в нужный раздел

[thyrex]

Здравствуйте.

 

Выполните Правила оформления запроса о помощи

Прикрепите все необходимое к следующему сообщению в текущей теме, новую тему создавать не нужно.

[DISPAWN]

Здраствуйте, пк не отключал на выходные, сев за него увидел что все файлы одинаковые и не открываются и записка о вымогательстве.

FRST.txt Addition.txt Desktop.rar

 

Сообщение от модератора thyrex

Темы объединены

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [browser.exe] => C:\Users\Елена Н\AppData\Local\HowToRestoreFiles.txt [3696 2025-08-08] () [Файл не подписан]
HKLM\...\Run: [enc-build.exe] => C:\Users\Елена Н\AppData\Local\HowToRestoreFiles.txt [3696 2025-08-08] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] All your files have been stolen! You still have the original files, but they have been encrypted.
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer_Service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_w32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_x64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
Startup: C:\Users\Елена Н\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\InheritanceFlags.vbs [2025-08-07] () [Файл не подписан]
Startup: C:\Users\Елена Н\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TypeId.vbs [2025-08-07] () [Файл не подписан]
AlternateShell:  <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-08-08 12:07 - 2025-08-08 19:07 - 000003696 _____ C:\Users\Елена Н\AppData\Local\HowToRestoreFiles.txt
2025-08-08 12:07 - 2025-08-08 19:03 - 000000000 ____D C:\temp
2025-08-08 12:06 - 2025-08-08 13:33 - 005351042 _____ (Oleg N. Scherbakov) C:\Users\Елена Н\AppData\Roaming\encryptor.exe
2025-08-09 02:08 - 2024-11-12 07:40 - 000000000 __SHD C:\Users\Елена Н\AppData\Local\BEE6758E-F327-E2B2-61BC-F522FEE8BC0C
2025-08-08 12:06 - 2025-08-08 13:33 - 005351042 _____ (Oleg N. Scherbakov) C:\Users\Елена Н\AppData\Roaming\encryptor.exe
2025-08-07 14:06 - 2025-08-07 14:06 - 001592088 _____ () C:\Users\Елена Н\AppData\Roaming\InheritanceFlags.exe
2025-08-07 14:06 - 2025-04-29 11:08 - 003237144 _____ () C:\Users\Елена Н\AppData\Roaming\TypeId.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 13 часов назад пользователем safety

[DISPAWN]

https://disk.yandex.ru/d/vqFOkYvR8JlVUg

 

при добавлении в архив заругался дефендр

 

это не единственный ПК на котором есть зашифрованные файлы

 

Fixlog.txt

Изменено 12 часов назад пользователем DISPAWN

[safety]

Скрипт дважды прогоняли? Fixlog.txt так понимаю - это результат повторного выполнения скрипта.

 

по файлам:

browser.exe

ESET: A Variant Of Win32/Filecoder.Mimic.D.gen

Kaspersky: HEUR:Trojan-Ransom.Win32.Generic

DrWeb: Undetected

https://www.virustotal.com/gui/file/39758214df0b282f4c245094943ee3a8181eb0c18c794ce6356448a0710b645f/detection

 

encryptor.exe /установщик pay2keys/:

ESET: BAT/Kryptik.AF

Kaspersky: UDS:Trojan-Ransom.Win32.Generic

DrWeb: PowerShell.Dropper.54

https://www.virustotal.com/gui/file/6b1c18e25d7ada0cc5f05862b3429a016b681b610e773cf362f0b0c91dfa4a78?nocache=1

 

Цитата

при добавлении в архив заругался дефендр

Покажите, пожалуйста, детекты  Defender, которые были при архивировании папки карантина FRST

 

Цитата

это не единственный ПК на котором есть зашифрованные файлы

проверьте, есть ли на этих устройствах папка (она может иметь атрибут скрытый):

BEE6758E-F327-E2B2-61BC-F522FEE8BC0C

или в C:\temp есть ли файл session.tmp размером 32байта.

Изменено 10 часов назад пользователем safety

[DISPAWN]

ДОБАВИЛ ИОБРАЖЕНИЕ ДЕФЕНДЕРА, НЕ НАШОЛ BEE6758E-F327-E2B2-61BC-F522FEE8BC0C

или в C:\temp НЕТ ТАКОЙ ПАПКИ

 

[safety]

Да, понятно какие файлы были прибиты дефендером и не попали в архив с карантином.

Если session.tmp нет в папке C:\temp на других устройствах, значит запуска шифровальщика не было на этих устройствах.

Зашифрованы были только файлы которые были в общем доступе. Шифрование было по сети с ПК, где этот запуск был, т.е. на том устройстве, которое мы сегодня зачистили.

+

проверьте ЛС.

 

[DISPAWN]

Ссылку кинул в личку

 

[safety]

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 8 часов назад пользователем safety