Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Помощь с шифровальщиком .09yum1_p2k

alex789z
 Поделиться

Рекомендуемые сообщения

alex789z

alex789z

Опубликовано
Опубликовано

Добрый вечер! Поймали шифровальщик с окончанием .09yum1_p2k. Заплатили выкуп, прислали дешифратор, запустили он отработал, но случился какой-то сбой и расшифровалась только часть файлов, а именно то что было на флешке, а то что было на диске С так и осталось. Прикладываю сам дешифратор и файлы с диска С. Пожалуйста помогите с данной проблемой. 

договора 2023г.zip договора с полигоном 2016.zip decryptor.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Сделайте, пожалуйста, логи FRST из зашифрованной системы.

+ добавьте записку о выкупе в архиве, без пароля

+ если вы запускали дешифратор, то в папке c:\temp должен быть файл MIMIC_DECRYPT.txt, этот файл в архиве. без пароля, так же добавьте.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

+ если вы запускали дешифратор, то в папке c:\temp должен быть файл MIMIC_DECRYPT.txt, этот файл в архиве. без пароля, так же добавьте.

 

декриптор один у вас, или все разные?

2025-11-17 09:50 - 2025-11-17 09:50 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (5).zip
2025-11-16 17:21 - 2025-11-16 17:21 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (4).zip
2025-11-16 16:44 - 2025-11-16 15:34 - 000788778 _____ C:\decryptor.exe
2025-11-16 15:41 - 2025-11-16 15:41 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (3).zip
2025-11-16 15:37 - 2025-11-16 15:37 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (2).zip
2025-11-16 15:37 - 2025-11-16 15:37 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (1).zip
2025-11-16 15:37 - 2025-11-16 15:34 - 000788778 _____ C:\Users\Anna\Desktop\decryptor.exe
2025-11-16 15:36 - 2025-11-16 15:36 - 002541034 _____ C:\Users\Anna\Downloads\decryptor.zip
 

Изменено пользователем safety
alex789z

alex789z

Опубликовано
  • Автор
Опубликовано
11 минут назад, safety сказал:

+ если вы запускали дешифратор, то в папке c:\temp должен быть файл MIMIC_DECRYPT.txt, этот файл в архиве. без пароля, так же добавьте.

 

PAY2KEY_DECRYPT.zip

safety

safety

Опубликовано
Опубликовано

декриптор один у вас, или все разные?

2025-11-17 09:50 - 2025-11-17 09:50 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (5).zip
2025-11-16 17:21 - 2025-11-16 17:21 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (4).zip
2025-11-16 16:44 - 2025-11-16 15:34 - 000788778 _____ C:\decryptor.exe
2025-11-16 15:41 - 2025-11-16 15:41 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (3).zip
2025-11-16 15:37 - 2025-11-16 15:37 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (2).zip
2025-11-16 15:37 - 2025-11-16 15:37 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (1).zip
2025-11-16 15:37 - 2025-11-16 15:34 - 000788778 _____ C:\Users\Anna\Desktop\decryptor.exe
2025-11-16 15:36 - 2025-11-16 15:36 - 002541034 _____ C:\Users\Anna\Downloads\decryptor.zip

+

вопрос: на флэшке не осталось копий зашифрованных файлов?

alex789z

alex789z

Опубликовано
  • Автор
Опубликовано
3 минуты назад, safety сказал:

декриптор один у вас, или все разные?

2025-11-17 09:50 - 2025-11-17 09:50 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (5).zip
2025-11-16 17:21 - 2025-11-16 17:21 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (4).zip
2025-11-16 16:44 - 2025-11-16 15:34 - 000788778 _____ C:\decryptor.exe
2025-11-16 15:41 - 2025-11-16 15:41 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (3).zip
2025-11-16 15:37 - 2025-11-16 15:37 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (2).zip
2025-11-16 15:37 - 2025-11-16 15:37 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (1).zip
2025-11-16 15:37 - 2025-11-16 15:34 - 000788778 _____ C:\Users\Anna\Desktop\decryptor.exe
2025-11-16 15:36 - 2025-11-16 15:36 - 002541034 _____ C:\Users\Anna\Downloads\decryptor.zip

Должны быть все одинаковые, просто несколько раз нажимал скачать

 

safety

safety

Опубликовано
Опубликовано (изменено)

вопрос: на флэшке, где файлы были расшифрованы, не осталось копий зашифрованных файлов?

 

Файл HowToRestoreFiles.txt откуда взяли? с флэшки, или с диска C?

Ваш уникальный ID: *******-******0*ke2kbh3
 

Изменено пользователем safety
alex789z

alex789z

Опубликовано
  • Автор
Опубликовано (изменено)
11 минут назад, safety сказал:

вопрос: на флэшке, где файлы были расшифрованы, не осталось копий зашифрованных файлов?

Сейчас еще раз проверил, все чисто, только нормальные файлы на флешке. А копию не делали, перед запуском дишифратора

 

Изменено пользователем alex789z
safety

safety

Опубликовано
Опубликовано

Файл HowToRestoreFiles.txt откуда взяли? с флэшки, или с диска C?

Ваш уникальный ID: *******-******0*ke2kbh3

На флэшке файлы были с каким расширением?

с этим? 

ke2kbh3

или с этим? 

09yum1_p2k

alex789z

alex789z

Опубликовано
  • Автор
Опубликовано (изменено)
6 минут назад, safety сказал:

Файл HowToRestoreFiles.txt откуда взяли? с флэшки, или с диска C?

Ваш уникальный ID: *******-******0*ke2kbh3

На флэшке файлы были с каким расширением?

с этим? 

ke2kbh3

или с этим? 

09yum1_p2k

HowToRestoreFiles.txt - с диска С (на рабочем столе)

на флешке файлы так же были с расширением .09yum1_p2k

Изменено пользователем alex789z
safety

safety

Опубликовано
Опубликовано (изменено)

Дешифратор выкупали у посредников, или по указанному в записке о выкупе контакте?

 

Посмотрите, пожалуйста, что в этих папках? могут быть скрыты, т.е. лучше смотреть через FAR.

 

2025-11-16 15:38 - 2024-03-01 13:58 - 000000000 __SHD C:\Users\Anna\AppData\Local\{C8A45BDA-41A3-AF52-CFEA-E91541C6516D}
2025-11-16 15:38 - 2023-10-02 21:17 - 000000000 __SHD C:\Users\Anna\AppData\Local\{3E8ECB53-9B56-7369-B7AB-03242785B23F}
2025-11-16 15:38 - 2023-01-28 06:42 - 000000000 __SHD C:\Users\Anna\AppData\Local\{6C708A23-6455-1BDF-478D-255D04D3F261}

 

и в этих папках:

2025-11-16 17:16 - 2025-11-17 09:17 - 000000000 ____D C:\temp
2025-11-11 13:15 - 2025-11-16 16:53 - 000000000 ____D C:\temp1
 

 

Изменено пользователем safety
alex789z

alex789z

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Дешифратор выкупали у посредников, или по указанному в записке о выкупе контакте?

 

Посмотрите, пожалуйста, что в этих папках? могут быть скрыты, т.е. лучше смотреть через FAR.

 

2025-11-16 15:38 - 2024-03-01 13:58 - 000000000 __SHD C:\Users\Anna\AppData\Local\{C8A45BDA-41A3-AF52-CFEA-E91541C6516D}
2025-11-16 15:38 - 2023-10-02 21:17 - 000000000 __SHD C:\Users\Anna\AppData\Local\{3E8ECB53-9B56-7369-B7AB-03242785B23F}
2025-11-16 15:38 - 2023-01-28 06:42 - 000000000 __SHD C:\Users\Anna\AppData\Local\{6C708A23-6455-1BDF-478D-255D04D3F261}

 

и в этих папках:

2025-11-16 17:16 - 2025-11-17 09:17 - 000000000 ____D C:\temp
2025-11-11 13:15 - 2025-11-16 16:53 - 000000000 ____D C:\temp1
 

 

{3E8ECB53-9B56-7369-B7AB-03242785B23F} и {C8A45BDA-41A3-AF52-CFEA-E91541C6516D} - пустые

{6C708A23-6455-1BDF-478D-255D04D3F261} - прикладываю

а так же темп и темп1

{6C708A23-6455-1BDF-478D-255D04D3F261}.rar temp + temp1.rar

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)

Да, в одной из папок есть следы запуска шифровальщика от 11.11.2025, другие пустые, возможно что ранее были атаки этим же типом - Mimic,

 

Если систему сканировали KVRT или Cureit, добавьте логи сканирования, в архиве, без пароля.

Изменено пользователем safety
alex789z

alex789z

Опубликовано
  • Автор
Опубликовано
17 минут назад, safety сказал:

Да, в одной из папок есть следы запуска шифровальщика от 11.11.2025, другие пустые, возможно что ранее были атаки этим же типом - Mimic,

 

Если систему сканировали KVRT или Cureit, добавьте логи сканирования, в архиве, без пароля.

Нет, не сканировали

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Gighall
      Помощь с шифровальщиком .09yum1_p2k
      Автор Gighall
      Здравствуйте, у нас файлы зашифрованы в системе, с расширением "*09yum1_p2k", файлы прикрепляем, что требуется сделать в нашем случае? Прочитав форум, попытался вставить скрпит в программу FRST по очистке системы, результата не дало, понимаю что в правилах указано этого лучше не делать. Компьютер не можем ни перезагрузить, ни воспользоваться поиском, при попытке перезагрузки пишет - "Нет доступных вариантов управления электропитанием" . Единственное что при открытии зашифрованных файлов, теперь пишет "Не удаётся найти файл С:\temp\HowToRestoreFiles.txt. Вы хотите создать новый файл с таким именем?" Выкуп никакой не делали, есть ли вероятность вернуть файлы?
      HowToRestoreFiles.txt4.32 kB · 1 загрузка л6.jpg.zip716.07 kB · 1 загрузка
    • Comrade Steel
      Шифровальщик с расширением .ke2kbh3_p2k
      Автор Comrade Steel
      На почту поступило письмо, во вложении архив с файлом .bat
      После запуска документы (docx, xlsx и т.п., при этом, например, .rtf остались не задетыми), а также файлы изображений исчезли/заменены файлами в формате ".ke2kbh3_p2k", которые открываются как текстовый документ с информацией о краже данных и информацией для оплаты.
      Зашифровано большинство документов на внутреннем жестком диске, а также одна папка на сервере (вероятнее всего та, в которой велась работа).
      Проведено поверхностное сканирование при помощи KVRT, найден HEUR:Trojan.Multi.Ifeodeb.a - во избежание дальнейшего вмешательства пропущен.
      Судя по всему - при первом запуске вируса он отключил антивирус, а также закрыл заметную часть запущенных программ.
      virus.7z Addition.txt FRST.txt пример зашифрованных файлов + текстовка требований.7z
    • Андрей St
      Помогите пожалуйста. Все ваши файлы украдены! Оригинальные файлы остались у вас, но были зашифрованы.
      Автор Андрей St
      Здравствуйте!
       
      Помогите пожалуйста расшифровать файлы, сотрудник поймал вирус на рабочем компьютере, ничего не работает, на пк две винды, приходится заходить с рабочей, интернет отключен, каким то образом вирус снес еще и электронный почтовый ящик, пишет что логина не существует(((
       
      Надеюсь на вашу помощь. Спасибо.
       
       


      Virus.rar Virus текст.rar Addition.txt FRST.txt
    • Илья2007
      На синем экране ноутбука следующая надпись: Ваши файлы украдены! Оригинальные файлы остались у вас, но были зашифрованы...
      Автор Илья2007
      Сегодня, в процессе работы, появилось такое сообщение на экране ноутбука. Ничего особенного не делал, файлы, которые открывал из электронки, были связаны с работой (PDF файлы). Подтормаживать ноутбук стал еще пару дней назад, мне это показалось странным. Сегодня, перед появлением этого экрана, несколько раз появлялись маленькие окна с сообщениями об ошибках. Помогите, пожалуйста, решить данную проблему, ну или укажите путь, в каком направлении надо действовать.

    • Иван_82
      behavior win32.y30x_p2k
      Автор Иван_82
      Добрый вечер случилось после открытия файла с почты все файлы теперь с расширением .y30x_p2k
      Addition.txt FRST.txt файлы шифр.rar
×
×
  • Создать...