pay2key Зашифровались все файлы с разрешением: docx, xlsx, pdf (личные данные) и и т.д.

Суббота в 09:08

Внезапно начал сильно тормозить компьютер и зашифровались все файлы с разрешением: docx, xlsx, pdf (личные данные) и и.т.д.

У файлов дописалось расширение vaqz2j
После проверки лечащей утилитой обнаружено в автозагрузке BackDoor.AsyncRAT.53 (VncKrip.exe) и PowerShell.Dropper.54 (setup.exe).
Возможно ли расшифровать что-либо после вируса?

Существуют ли другие способы кроме дешифровки?

Может ли кто-нибудь чем-то помочь в этой ситуации?

Образцы шифрованных файлов во вложении

Спасибо!

3.zip

Суббота в 09:21

Здравствуйте!

Прочтите и выполните в полном объёме Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

Воскресенье в 03:12

18 часов назад, ByAleks6 сказал:

Может ли кто-нибудь чем-то помочь в этой ситуации?

Чтобы в чем то помочь вам, для начала надо определить тип шифровальщика.

Вы предоставили неполную информацию для этого.

Добавьте логи сканирования, чем вы чистили систему: KVRT или Cureit,

добавьте записку о выкупе,

добавьте логи FRST сделанные в зашифрованной системе.

9 часов назад

Здравствуйте!

Вот дополнительная информация которую удалось достать с зараженного компьютера.
После заражения системы сканирование и очистку выполнял при помощи KVRT и Curreit.
Лог сканирования утилитой KVRT вторичный а лог Curreit LiveDisk отсутствует так как функции экспорта отчета в утилитах нет а готовый отчет просто скринил в формате .png и в итоге эти файлы также были зашифрованы. Но при первичном сканировании Curreit LiveDisk я сделал пометки на бумаге о найденных угрозах а утилитой KVRT пересканировал вторично и изменил расширение файла на txt с целью предотвращения повторного шифрования.

Архив с названием "Virus" содержит добытую информацию, пароль такой же как и имя

- Архив содержит логи работы программы FRST

- Записка о выкупе

- Скрин KVRT

Вот лог Curreit:

BackDoor.AsyncRAT.53 (вредоносный файл VncKrip.exe)
PowerShell.Dropper.54 (вредоносный файл setup.exe)

Trojan.PWS.Sigger3.40844 (вредоносный файлcount.exe)
BackDoor.AsyncRAT.53 (вредоносный файл item.exe)

Users\You\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\item.vbs

Virus.zip

Изменено 9 часов назад пользователем ByAleks6
Дописал нужную информацию

9 часов назад

Судя по записке - это Pay2Key, модифицированный вариант Mimic.

Судя по логам FRST шифровальщик был все это время активен. Впрочем он мог запуститься через автозапуск.

по очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380\browser.exe <2>
(C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380\browser.exe ->) (voidtools -> voidtools)
HKLM\...\Run: [browser] => C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380\browser.exe [3415056 2022-12-18] () [Файл не подписан]
HKLM\...\Run: [browser.exe] => C:\Users\You\AppData\Local\HowToRestoreFiles.txt [4074 2025-09-08] () [Файл не подписан]
HKLM\...\Run: [enc-build.exe] => C:\Users\You\AppData\Local\HowToRestoreFiles.txt [4074 2025-09-08] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] All your files have been stolen! You still have the original files, but they have been encrypted.
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer_Service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_w32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_x64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-05 07:08 - 2025-09-05 07:08 - 000000000 ____D C:\ProgramData\Avast Software
2025-09-05 07:08 - 2025-09-05 07:08 - 000000000 ____D C:\Program Files\Avast Software
2025-09-08 17:55 - 2024-08-20 15:07 - 000000000 __SHD C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

42 минуты назад, ByAleks6 сказал:

- Скрин KVRT

Сканирование в KVRT сегодня выполнили? Именно в этой системе, откуда добавили логи FRST?

Изменено 9 часов назад пользователем safety

9 часов назад

После выполнения скрипта.

Что еще можно добавить. Возможно, пользователю, чей ПК был зашифрован прилетело письмо с вредоносным вложением. Проверьте почту на момент шифрования. Вложение может быть несколько Мб.

Если это письмо сохранилось, экспортируйте его в файл в формат EML, заархивируйте файл с паролем virus, добавьте архив в ваше сообщение.

6 часов назад

Вот готовый отчет: Fixlog.txt

Ссылка для скачивания архива: https://disk.yandex.by/d/q6MT3i_636REPQ

Сканирование выполнял несколько раз, может раза два-три. И сегодня и вчера и наверно в пятницу когда все и началось.

Данные зашифровались в пятницу с 7.00 - до 08.00 утра.

Сканирование естественно выполнялось на зараженной машине с целью нейтрализации вирусов.

Проанализирую еще входящую почту за этот период, если что-то найду подозрительное, то добавлю ссылку с содержимым.

Спасибо!

Изменено 6 часов назад пользователем ByAleks6
Дополнено

54 минуты назад

Я заметил один интересный момент. После перезагрузки системы вирус дошифровывает новые нетронутые ранее файлы, например на флешке.

При этом, когда шифровальщик впервые начал свою работу, компьютер начал сильно тормозить и в этот момент я сделал принудительное отключение и разорвал интернет соединение.

Может ли это означать, что ключ шифрования все ещё в системе и его можно перехватить?

pay2key Зашифровались все файлы с разрешением: docx, xlsx, pdf (личные данные) и и т.д.

Рекомендуемые сообщения

ByAleks6

Sandor

safety

ByAleks6

safety

safety

ByAleks6

ByAleks6

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum