Перейти к содержанию

Зашифровались все файлы с разрешением: docx, xlsx, pdf (личные данные) и и т.д.


Рекомендуемые сообщения

Опубликовано

Внезапно начал сильно тормозить компьютер и зашифровались все файлы с разрешением: docx, xlsx, pdf (личные данные) и и.т.д.

У файлов дописалось расширение vaqz2j
После проверки лечащей утилитой обнаружено в автозагрузке BackDoor.AsyncRAT.53 (VncKrip.exe) и PowerShell.Dropper.54 (setup.exe).
Возможно ли расшифровать что-либо после вируса?

Существуют ли другие способы кроме дешифровки?

Может ли кто-нибудь чем-то помочь в этой ситуации?

Образцы шифрованных файлов во вложении

Спасибо!

3.zip

Опубликовано
18 часов назад, ByAleks6 сказал:

Может ли кто-нибудь чем-то помочь в этой ситуации?

Чтобы в чем то помочь вам, для начала надо определить тип шифровальщика.

Вы предоставили неполную информацию для этого.

Добавьте логи сканирования, чем вы чистили систему: KVRT или Cureit,

добавьте записку о выкупе,

добавьте логи FRST сделанные в зашифрованной системе.

Опубликовано (изменено)

Здравствуйте!

Вот дополнительная информация которую удалось достать с зараженного компьютера.
После заражения системы сканирование и очистку выполнял при помощи KVRT и Curreit.
Лог сканирования утилитой KVRT вторичный а лог Curreit LiveDisk отсутствует так как функции экспорта отчета в утилитах нет а готовый отчет просто скринил в формате .png и в итоге эти файлы также были зашифрованы. Но при первичном сканировании Curreit LiveDisk я сделал пометки на бумаге о найденных угрозах а утилитой KVRT пересканировал вторично и изменил расширение файла на txt с целью предотвращения повторного шифрования.

Архив с названием "Virus" содержит добытую информацию, пароль такой же как и имя

 

- Архив  содержит логи работы программы FRST

- Записка о выкупе

- Скрин KVRT

 

Вот лог Curreit:

BackDoor.AsyncRAT.53 (вредоносный файл VncKrip.exe)
PowerShell.Dropper.54 (вредоносный файл setup.exe)

Trojan.PWS.Sigger3.40844 (вредоносный файлcount.exe)
BackDoor.AsyncRAT.53 (вредоносный файл item.exe)

Users\You\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\item.vbs

Virus.zip

Изменено пользователем ByAleks6
Дописал нужную информацию
Опубликовано (изменено)

Судя по записке - это Pay2Key, модифицированный вариант Mimic.

 

Судя по логам FRST шифровальщик был все это время активен. Впрочем он мог запуститься через автозапуск.

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380\browser.exe <2>
(C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380\browser.exe ->) (voidtools -> voidtools)
HKLM\...\Run: [browser] => C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380\browser.exe [3415056 2022-12-18] () [Файл не подписан]
HKLM\...\Run: [browser.exe] => C:\Users\You\AppData\Local\HowToRestoreFiles.txt [4074 2025-09-08] () [Файл не подписан]
HKLM\...\Run: [enc-build.exe] => C:\Users\You\AppData\Local\HowToRestoreFiles.txt [4074 2025-09-08] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] All your files have been stolen! You still have the original files, but they have been encrypted.
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer_Service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_w32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_x64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-05 07:08 - 2025-09-05 07:08 - 000000000 ____D C:\ProgramData\Avast Software
2025-09-05 07:08 - 2025-09-05 07:08 - 000000000 ____D C:\Program Files\Avast Software
2025-09-08 17:55 - 2024-08-20 15:07 - 000000000 __SHD C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

42 минуты назад, ByAleks6 сказал:

- Скрин KVRT

Сканирование в KVRT сегодня выполнили? Именно в этой системе, откуда добавили логи FRST?

Изменено пользователем safety
Опубликовано

После выполнения скрипта.

Что еще можно добавить. Возможно, пользователю, чей ПК был зашифрован прилетело письмо с вредоносным вложением. Проверьте почту на момент шифрования. Вложение может быть несколько Мб.

Если это письмо сохранилось, экспортируйте его в файл в формат EML, заархивируйте файл с паролем virus, добавьте архив в ваше сообщение.

Опубликовано (изменено)

Вот готовый отчет: Fixlog.txt

Ссылка для скачивания архива: ***

Сканирование выполнял несколько раз, может раза два-три. И сегодня и вчера и наверно в пятницу когда все и началось.

Данные зашифровались в пятницу с 7.00 - до 08.00 утра.

Сканирование естественно выполнялось на зараженной машине с целью нейтрализации вирусов.

Проанализирую еще входящую почту за этот период, если что-то найду подозрительное, то добавлю ссылку с содержимым.

Спасибо!

Изменено пользователем safety
архив загружен, ссылка удалена
Опубликовано

Я заметил один интересный момент. После перезагрузки системы вирус дошифровывает новые нетронутые ранее файлы, например на флешке. 

При этом, когда шифровальщик впервые начал свою работу, компьютер начал сильно тормозить и в этот момент я сделал принудительное отключение и разорвал интернет соединение.

Может ли это означать, что ключ шифрования все ещё в системе и его можно перехватить?

Опубликовано (изменено)

Шифрование после очистки в FRST должно прекратиться. Автозапуск системы очищен.

[3788] C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380\browser.exe => процесс успешно завершён.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\browser" => успешно удалены
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\browser.exe" => успешно удалены
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\enc-build.exe" => успешно удалены

Файлы шифровальщика удалены.

файл шифровальщика проверен. На текущий момент KVRT должен детектировать:

UDS:Trojan-Ransom.Win32.Generic

ESET-NOD32 A Variant Of Win32/Filecoder.Mimic.D.gen

https://www.virustotal.com/gui/file/d5b3e76e9fbf613cc1ea140f0f0fa74ff10513adcb3607939c953b92d01aa1dc/detection

 

Цитата

Может ли это означать, что ключ шифрования все ещё в системе и его можно перехватить?

перехватить мы можем только публичный ключ, которым было выполнено шифрования.

Для расшифровки файлов необходим соответствующий приватный ключ, который в системе не светится.

+

проверьте ЛС.

+

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ProIQ
      Автор ProIQ
      Добрый день! На компьютере стоял Касперский, но после последней перезагрузки, все файлы оказались зашифрованы и выводится сообщение, что бы я обратился по контактам.
      Файлы стали иметь расширение .elpy-JsRbofzMa_g7z2ERnDNGheZ8fzJVYQVD4UpvcSnDLEc
       
      Помогите пожалуйста!
       
      Текст: "
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is ****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - volume0@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      "
    • Tangous
      Автор Tangous
      Помогите пож.
      Проекты САМ и САД. Работа последних лет.
       
      Addition.txt FRST.txt sample_vir.zip
    • Игорь Мартынов
      Автор Игорь Мартынов
      Здравствуйте, наш бухгалтер подцепила вирус-шифровальщик pay2key, приложение, которое запустилось: kopiya_1C_doc_d5ef6rewg3ergw5g6rge5. В результате все файлы на компьютере получили расширение .ywgulm_p2k. Требование о выкупе прилагаю. Видел на этом форуме примеры заражения этим же вирусов, люди платили выкуп и получали дешифратор, в том числе выкладывали здесь. Можно ли получить данный дешифратор и попробовать расшифровать свои файлы со своим id.
      HowToRestoreFiles.txt Зашифрованные файлы.rar
    • Татьяна С
      Автор Татьяна С
      Добрый день. Так же зашифровались файлы расширением ywgulm_p2k
      К ноутбуку с вирусом был подключен съемный диск. Вирус удалили, но документы остались зашифрованными.
      К сожалению, нет доступа к ноутбуку, на котором произошел сбой, а на другом не читается письмо-выкуп.
      Можно расшифровать документы на съемном диске с другого ноутбука? 
       
      Прикладываю файл, который похож на вирус. Именно с его распаковки начались проблемы
       
      копии платежных документовПАРОЛЬ 123.rar
       
      Сообщение от модератора kmscom Тема перенесена из Шифровальщик с расширением .ywgulm_p2k
       
    • sevzap
      Автор sevzap
      Операционная система
      Выпуск    Windows 10 Pro
      Версия    22H2
      Сборка ОС    19045.6456

      Суть проблемы:
      Здравствуйте, 
      Столкнулись с шифровальщиком, который зашифровал все файлы кроме системных с расширением .ywgulm_p2k
      На форуме не увидели статью какую либо по поводу этого шифровальщика,
      может быть сталкивались и может быть уже существует дешифратор? 
      Файлы примера есть, сделали архивы, если нужно приложить их, возможно один из них шифровальщик, по крайней мере это единственное что было на него похожее. 
      Также со вчерашнего дня периодически сами по себе устанавливались приложения со скриншота 3, даже если их удалять, возможно взаимосвязано.
      Скриншот 4 предположительный шифровальщик. 

      Пароли от архивов:
      Файлы_с_компьютера - 2@Sa1241
      Зашифрованный_файл__Письмо - sfqweQ
      возможно_шифровальщик_.ptmp888BC3 -  1!@ASDXzaw




       
      Addition.txt FRST.txt
      Файлы_с_компьютера.7z
×
×
  • Создать...