pay2key Вымогальщик. Нужна помощь с расшифровкой.

19 часов назад

Ребята, здравствуйте. Нужна помощь, бухгалтер скачала файл, после этого весь сервер зашифровался. Как расшифровать? На пк база 1с.

Файлы прикладываю.

Просим помощи!

HowToRestoreFiles.txt Новая папка (4).rar

17 часов назад

Здравствуйте.

Выполните Правила оформления запроса о помощи.

Логи прикрепите к следующему сообщению в текущей теме, не создавая новой темы.

7 часов назад

12 часов назад, VNDR сказал:

Нужна помощь, бухгалтер скачала файл

+

Добавьте так же сообщение из почты, которое открыл бухгалтер.

Сообщение сохраните в файл в формате eml, файл добавьте в архив с паролем vius, архив загрузите в ваше сообщение.

3 часа назад

3 часа назад, safety сказал:

+

Добавьте так же сообщение из почты, которое открыл бухгалтер.

Сообщение сохраните в файл в формате eml, файл добавьте в архив с паролем vius, архив загрузите в ваше сообщение.

Сообщение.rar

3 часа назад

14 часов назад, thyrex сказал:

Здравствуйте.

Выполните Правила оформления запроса о помощи.

Логи прикрепите к следующему сообщению в текущей теме, не создавая новой темы.

FRST.txt Addition.txt

2 часа назад

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKU\S-1-5-21-693856920-1604087506-2574800942-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKLM\...\Run: [browser.exe] => C:\Users\Elena\AppData\Local\HowToRestoreFiles.txt [3732 2025-08-19] () [Файл не подписан]
Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ActivityId.vbs [2025-08-18] () [Файл не подписан]
Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IsInherited.vbs [2025-08-18] () [Файл не подписан]
Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Message.vbs [2025-08-18] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
S2 wsc_proxy; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver /wsc_name:"Avast Antivirus [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
2025-08-19 12:58 - 2025-08-19 14:17 - 000000000 ____D C:\temp
2025-08-20 08:51 - 2025-08-20 08:51 - 003605607 _____ C:\Users\Elena\Downloads\Сообщение.rar
2025-08-20 08:50 - 2025-08-20 08:50 - 004666553 _____ C:\Users\Elena\Downloads\Fwd Акт сверки на 18.08.2025.eml
2025-08-19 14:18 - 2022-11-06 17:54 - 000000000 __SHD C:\Users\Elena\AppData\Local\1C8FBF78-CEA9-289F-D10F-BCAD2CFEE8BF
2025-08-18 13:57 C:\Users\Elena\Downloads\akt_sverki_1C_9856665_PDF.com
2025-08-19 14:18 C:\Users\Elena\AppData\Local\1C8FBF78-CEA9-289F-D10F-BCAD2CFEE8BF
REboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

2 часа назад

43 минуты назад, safety сказал:

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKU\S-1-5-21-693856920-1604087506-2574800942-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKLM\...\Run: [browser.exe] => C:\Users\Elena\AppData\Local\HowToRestoreFiles.txt [3732 2025-08-19] () [Файл не подписан]
Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ActivityId.vbs [2025-08-18] () [Файл не подписан]
Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IsInherited.vbs [2025-08-18] () [Файл не подписан]
Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Message.vbs [2025-08-18] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
S2 wsc_proxy; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver /wsc_name:"Avast Antivirus [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
2025-08-19 12:58 - 2025-08-19 14:17 - 000000000 ____D C:\temp
2025-08-20 08:51 - 2025-08-20 08:51 - 003605607 _____ C:\Users\Elena\Downloads\Сообщение.rar
2025-08-20 08:50 - 2025-08-20 08:50 - 004666553 _____ C:\Users\Elena\Downloads\Fwd Акт сверки на 18.08.2025.eml
2025-08-19 14:18 - 2022-11-06 17:54 - 000000000 __SHD C:\Users\Elena\AppData\Local\1C8FBF78-CEA9-289F-D10F-BCAD2CFEE8BF
2025-08-18 13:57 C:\Users\Elena\Downloads\akt_sverki_1C_9856665_PDF.com
2025-08-19 14:18 C:\Users\Elena\AppData\Local\1C8FBF78-CEA9-289F-D10F-BCAD2CFEE8BF
REboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

архив загружен, ссылка удалена

Fixlog.txt

Изменено 1 час назад пользователем safety

1 час назад

По файлам:

сообщение *.EML уже детектируется, так как сдержит архив с вредоносом без пароля.

https://www.virustotal.com/gui/file/40f536d23d08b19de561608fc5fdbe05c3dd3ca8bf36e56494b7dacc3ef0cd9f?nocache=1

архивное вложение из *.EML, содержащее вредоносный файл с маскировкой под документ PDF (на самом деле имеет последнее расширение *com) детектируется:

https://www.virustotal.com/gui/file/ebdef6c402cbd2a7424a5a6dd30c08f67719c656bc28a1c8aa0edaf7823c5547

сам файл akt_sverki_1C_9856665_PDF.com из архивного вложения детектируется:

https://www.virustotal.com/gui/file/3f8ede55b8fbc733b47e0a61c1def8fbd59aafdf86572ce57300b819d4ef8f79/details

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

Общие рекомендации:

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 1 час назад пользователем safety

pay2key Вымогальщик. Нужна помощь с расшифровкой.

Рекомендуемые сообщения

VNDR

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

VNDR

Ссылка на комментарий

Поделиться на другие сайты

VNDR

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

VNDR

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum