pay2key Касперский обнаружил вирус HEUR:Trojan.Script.NetSup.gen, зашифровавший все документы

[Елена Окишева]

Результаты дополнительного сканирования Farbar Recovery Scan Tool (x64) Версия: 11-10-2025

 

Сообщение от модератора thyrex

Перенесено из раздела Компьютерная помощь

HowToRestoreFiles.txt

Изменено 18 октября, 2025 пользователем safety

[thyrex]

Логи прикрепляют к сообщению, а не превращают сообщение в простыню.

 

Выполните Правила оформления запроса о помощи в полном объеме, прикрепив не только логи, но и примеры зашифрованных файлов.

[Елена Окишева]

Извините что не правильно оформила запрос. Не могу прикрепить файл: недопустимый формат файла. В те форматы что предоставлены у вас мои файлы не меняются. Все файлы заканчиваются на: .y30x_p2k При переименовывании файлов, они перестают открываться, пишут что никакой формат не поддерживается и файл был повреждён. На данный момент все файлы со значком word. При открывании любого файла выскакивает "преобразование файла" 

[thyrex]

2 часа назад, Елена Окишева сказал:

Не могу прикрепить файл: недопустимый формат файла

Заархивируйте и все получится прикрепить.

[safety]

+

Если шифрование произошло пр открытии сообщения из почты, добавьте данное сообщение из почты.

Как это сделать.

Откройте данное сообщение в почте, сохраните его в файл в формате EML, файл EML заархивируйте с паролем virus, архив с файлом добавьте в ваше сообщение здесь, на форуме. (как в сказке про иглу для Кащея*)

 

Изменено 18 октября, 2025 пользователем safety

[Елена Окишева]

Получилось сделать папку zip, её и прикрепляю

Путевой лист легкового автомобиля на основе формы N 3 (ОКУД 0345001), с учетом требований,.xls.zip Оцинковка цена.docx.zip

[safety]

Логи FRST так же добавьте согласно инструкции.

https://safezone.cc/threads/kak-podgotovit-log-farbar-recovery-scan-tool.17759/

[Елена Окишева]

Во вложени

FRST.txt

Изменено 18 октября, 2025 пользователем Елена Окишева

[safety]

Два, антивируса установлены, это не есть хорошо. Один лучше деинсталлировать.

(C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.22\avp.exe ->) (AO Kaspersky Lab -> AO Kaspersky Lab) C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.22\avpui.exe
(C:\Program Files\ESET\ESET Security\ekrn.exe ->) (ESET, spol. s r.o. -> ESET) C:\Program Files\ESET\ESET Security\eguiProxy.exe

 

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [browser.exe] => notepad.exe "C:\temp\HowToRestoreFiles.txt" (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
S2 wsc_proxy; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver /wsc_name:"Avast Antivirus [X]
2025-10-17 15:20 - 2022-10-27 17:31 - 000000000 __SHD C:\Users\User\AppData\Local\{52CF788E-97E5-F33C-2078-2D30E2CE36D8}
2025-10-17 15:20 - 2022-08-14 02:16 - 000000000 __SHD C:\Users\User\AppData\Local\{C967DB0A-EC46-5740-3993-6805F6290586}
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

+

Если шифрование произошло пр открытии сообщения из почты, добавьте данное сообщение из почты.

Как это сделать.

Откройте данное сообщение в почте, сохраните его в файл в формате EML, файл EML заархивируйте с паролем virus, архив с файлом добавьте в ваше сообщение здесь, на форуме.

 

[Елена Окишева]

Ссылка на скачивание
https://disk.yandex.ru/d/i799XElzygwHuw

 

Fixlog.txt

[safety]

session.tmp я вижу у вас удален.

или может быть он уже не сохраняется в новых вариантах pay2key.

 

По Mimic/pay2key расшифровка файлов возможно только при наличие приватного  ключа, которого у нас нет.

Папку  с Quarantine можно удалить.

 

Как избежать новых ситуаций с шифрованием:

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[Елена Окишева]

Письмо сохранила в архив. Подозреваю, что после него появился вирус

Message17606264680901590252.7z

 

И вот еще письмо было письмо

Message17605209020479327023.7z

 

Приватный ключ можно получить только от адреса вымогателя, указанного в письме после оплаты я так понимаю?

[safety]

Проверьте ЛС

[safety]

Скрипт FRST поправил:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [browser.exe] => notepad.exe "C:\temp\HowToRestoreFiles.txt" (Нет файла) <==== ВНИМАНИЕ
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ByteLength.vbs [2025-10-14] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CanWrite.vbs [2025-10-14] () [Файл не подписан]
S2 wsc_proxy; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver /wsc_name:"Avast Antivirus [X]
2025-10-17 13:34 - 2025-10-17 13:34 - 000004390 _____ C:\HowToRestoreFiles.txt
2025-10-17 12:51 - 2025-10-17 13:33 - 000000000 ____D C:\Users\User\Desktop\temp
2025-10-17 15:20 - 2022-10-27 17:31 - 000000000 __SHD C:\Users\User\AppData\Local\{52CF788E-97E5-F33C-2078-2D30E2CE36D8}
2025-10-17 15:20 - 2022-08-14 02:16 - 000000000 __SHD C:\Users\User\AppData\Local\{C967DB0A-EC46-5740-3993-6805F6290586}
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.