pay2key Помощь с шифровальщиком .09yum1_p2k

16 ноября, 2025

Добрый вечер! Поймали шифровальщик с окончанием .09yum1_p2k. Заплатили выкуп, прислали дешифратор, запустили он отработал, но случился какой-то сбой и расшифровалась только часть файлов, а именно то что было на флешке, а то что было на диске С так и осталось. Прикладываю сам дешифратор и файлы с диска С. Пожалуйста помогите с данной проблемой.

договора 2023г.zip договора с полигоном 2016.zip decryptor.zip

16 ноября, 2025

Сделайте, пожалуйста, логи FRST из зашифрованной системы.

+ добавьте записку о выкупе в архиве, без пароля

+ если вы запускали дешифратор, то в папке c:\temp должен быть файл MIMIC_DECRYPT.txt, этот файл в архиве. без пароля, так же добавьте.

Изменено 17 ноября, 2025 пользователем safety

17 ноября, 2025

6 часов назад, safety сказал:

Сделайте, пожалуйста, логи FRST из зашифрованной системы.

+ добавьте записку о выкупе в архиве, без пароля

Addition.txt FRST.txt HowToRestoreFiles.zip

17 ноября, 2025

+ если вы запускали дешифратор, то в папке c:\temp должен быть файл MIMIC_DECRYPT.txt, этот файл в архиве. без пароля, так же добавьте.

декриптор один у вас, или все разные?

2025-11-17 09:50 - 2025-11-17 09:50 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (5).zip
2025-11-16 17:21 - 2025-11-16 17:21 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (4).zip
2025-11-16 16:44 - 2025-11-16 15:34 - 000788778 _____ C:\decryptor.exe
2025-11-16 15:41 - 2025-11-16 15:41 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (3).zip
2025-11-16 15:37 - 2025-11-16 15:37 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (2).zip
2025-11-16 15:37 - 2025-11-16 15:37 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (1).zip
2025-11-16 15:37 - 2025-11-16 15:34 - 000788778 _____ C:\Users\Anna\Desktop\decryptor.exe
2025-11-16 15:36 - 2025-11-16 15:36 - 002541034 _____ C:\Users\Anna\Downloads\decryptor.zip

Изменено 17 ноября, 2025 пользователем safety

17 ноября, 2025

11 минут назад, safety сказал:

+ если вы запускали дешифратор, то в папке c:\temp должен быть файл MIMIC_DECRYPT.txt, этот файл в архиве. без пароля, так же добавьте.

PAY2KEY_DECRYPT.zip

17 ноября, 2025

декриптор один у вас, или все разные?

2025-11-17 09:50 - 2025-11-17 09:50 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (5).zip
2025-11-16 17:21 - 2025-11-16 17:21 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (4).zip
2025-11-16 16:44 - 2025-11-16 15:34 - 000788778 _____ C:\decryptor.exe
2025-11-16 15:41 - 2025-11-16 15:41 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (3).zip
2025-11-16 15:37 - 2025-11-16 15:37 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (2).zip
2025-11-16 15:37 - 2025-11-16 15:37 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (1).zip
2025-11-16 15:37 - 2025-11-16 15:34 - 000788778 _____ C:\Users\Anna\Desktop\decryptor.exe
2025-11-16 15:36 - 2025-11-16 15:36 - 002541034 _____ C:\Users\Anna\Downloads\decryptor.zip

+

вопрос: на флэшке не осталось копий зашифрованных файлов?

17 ноября, 2025

3 минуты назад, safety сказал:

декриптор один у вас, или все разные?

2025-11-17 09:50 - 2025-11-17 09:50 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (5).zip
2025-11-16 17:21 - 2025-11-16 17:21 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (4).zip
2025-11-16 16:44 - 2025-11-16 15:34 - 000788778 _____ C:\decryptor.exe
2025-11-16 15:41 - 2025-11-16 15:41 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (3).zip
2025-11-16 15:37 - 2025-11-16 15:37 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (2).zip
2025-11-16 15:37 - 2025-11-16 15:37 - 002541034 _____ C:\Users\Anna\Downloads\decryptor (1).zip
2025-11-16 15:37 - 2025-11-16 15:34 - 000788778 _____ C:\Users\Anna\Desktop\decryptor.exe
2025-11-16 15:36 - 2025-11-16 15:36 - 002541034 _____ C:\Users\Anna\Downloads\decryptor.zip

Должны быть все одинаковые, просто несколько раз нажимал скачать

17 ноября, 2025

вопрос: на флэшке, где файлы были расшифрованы, не осталось копий зашифрованных файлов?

Файл HowToRestoreFiles.txt откуда взяли? с флэшки, или с диска C?

Ваш уникальный ID: *******-******0*ke2kbh3

Изменено 17 ноября, 2025 пользователем safety

17 ноября, 2025

11 минут назад, safety сказал:

вопрос: на флэшке, где файлы были расшифрованы, не осталось копий зашифрованных файлов?

Сейчас еще раз проверил, все чисто, только нормальные файлы на флешке. А копию не делали, перед запуском дишифратора

Изменено 17 ноября, 2025 пользователем alex789z

17 ноября, 2025

Файл HowToRestoreFiles.txt откуда взяли? с флэшки, или с диска C?

Ваш уникальный ID: *******-******0*ke2kbh3

На флэшке файлы были с каким расширением?

с этим?

ke2kbh3

или с этим?

09yum1_p2k

17 ноября, 2025

6 минут назад, safety сказал:

Файл HowToRestoreFiles.txt откуда взяли? с флэшки, или с диска C?

Ваш уникальный ID: *******-******0*ke2kbh3

На флэшке файлы были с каким расширением?

с этим?

ke2kbh3

или с этим?

09yum1_p2k

HowToRestoreFiles.txt - с диска С (на рабочем столе)

на флешке файлы так же были с расширением .09yum1_p2k

Изменено 17 ноября, 2025 пользователем alex789z

17 ноября, 2025

Дешифратор выкупали у посредников, или по указанному в записке о выкупе контакте?

Посмотрите, пожалуйста, что в этих папках? могут быть скрыты, т.е. лучше смотреть через FAR.

2025-11-16 15:38 - 2024-03-01 13:58 - 000000000 __SHD C:\Users\Anna\AppData\Local\{C8A45BDA-41A3-AF52-CFEA-E91541C6516D}
2025-11-16 15:38 - 2023-10-02 21:17 - 000000000 __SHD C:\Users\Anna\AppData\Local\{3E8ECB53-9B56-7369-B7AB-03242785B23F}
2025-11-16 15:38 - 2023-01-28 06:42 - 000000000 __SHD C:\Users\Anna\AppData\Local\{6C708A23-6455-1BDF-478D-255D04D3F261}

и в этих папках:

2025-11-16 17:16 - 2025-11-17 09:17 - 000000000 ____D C:\temp
2025-11-11 13:15 - 2025-11-16 16:53 - 000000000 ____D C:\temp1

Изменено 17 ноября, 2025 пользователем safety

17 ноября, 2025

1 час назад, safety сказал:

Дешифратор выкупали у посредников, или по указанному в записке о выкупе контакте?

Посмотрите, пожалуйста, что в этих папках? могут быть скрыты, т.е. лучше смотреть через FAR.

2025-11-16 15:38 - 2024-03-01 13:58 - 000000000 __SHD C:\Users\Anna\AppData\Local\{C8A45BDA-41A3-AF52-CFEA-E91541C6516D}
2025-11-16 15:38 - 2023-10-02 21:17 - 000000000 __SHD C:\Users\Anna\AppData\Local\{3E8ECB53-9B56-7369-B7AB-03242785B23F}
2025-11-16 15:38 - 2023-01-28 06:42 - 000000000 __SHD C:\Users\Anna\AppData\Local\{6C708A23-6455-1BDF-478D-255D04D3F261}

и в этих папках:

2025-11-16 17:16 - 2025-11-17 09:17 - 000000000 ____D C:\temp
2025-11-11 13:15 - 2025-11-16 16:53 - 000000000 ____D C:\temp1

{3E8ECB53-9B56-7369-B7AB-03242785B23F} и {C8A45BDA-41A3-AF52-CFEA-E91541C6516D} - пустые

{6C708A23-6455-1BDF-478D-255D04D3F261} - прикладываю

а так же темп и темп1

{6C708A23-6455-1BDF-478D-255D04D3F261}.rar temp + temp1.rar

17 ноября, 2025

Да, в одной из папок есть следы запуска шифровальщика от 11.11.2025, другие пустые, возможно что ранее были атаки этим же типом - Mimic,

Если систему сканировали KVRT или Cureit, добавьте логи сканирования, в архиве, без пароля.

Изменено 17 ноября, 2025 пользователем safety

17 ноября, 2025

17 минут назад, safety сказал:

Да, в одной из папок есть следы запуска шифровальщика от 11.11.2025, другие пустые, возможно что ранее были атаки этим же типом - Mimic,

Если систему сканировали KVRT или Cureit, добавьте логи сканирования, в архиве, без пароля.

Нет, не сканировали

pay2key Помощь с шифровальщиком .09yum1_p2k

Рекомендуемые сообщения

alex789z

safety

alex789z

safety

alex789z

safety

alex789z

safety

alex789z

safety

alex789z

safety

alex789z

safety

alex789z

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum