pay2key Помощь с шифровальщиком .09yum1_p2k

[safety]

Хорошо, проверьте ЛС.

---------

Жаль, что не нашлось копий зашифрованных файлов, которые по вашим словам вы расшифровали на флэшке, можно было бы проверить их расшифровку независимым от дешифратора способом.

Файлы, же, которые зашифрованы на диске C, зашифрованы другим ключом.

 

Проверил расшифровку отдельного файла (*09yum1_p2k), взятого с диска C, так как расшифровка независимым способом не зависит от расширения файла.

Явно был использован другой ключ.
encryption marker: failed
Error: Failed to decrypt file

потому полученный дешифратор не сработал по файлам с диска C.

 

Судя по тому что было несколько папок

2025-11-16 15:38 - 2024-03-01 13:58 - 000000000 __SHD C:\Users\Anna\AppData\Local\{C8A45BDA-41A3-AF52-CFEA-E91541C6516D}
2025-11-16 15:38 - 2023-10-02 21:17 - 000000000 __SHD C:\Users\Anna\AppData\Local\{3E8ECB53-9B56-7369-B7AB-03242785B23F}
2025-11-16 15:38 - 2023-01-28 06:42 - 000000000 __SHD C:\Users\Anna\AppData\Local\{6C708A23-6455-1BDF-478D-255D04D3F261}

 

Можно предположить что на данном устройстве было несколько запусков разных сэмплов, 

и каждый из них шифровал файлы своим ключом с добавлением к файлам настроенного в конфиге расширения.

 

update1:

Вот свежий пример папки запуска шифровальщика с расширением *.ke2kbh3_p2k

 

C:\Users\Gigabyte\AppData\Local\{3E8ECB53-9B56-7369-B7AB-03242785B23F}

 

Видим, что данная папка была и на вашем устройстве. Значит, 100% у вас был запуск шифрования с *.ke2kbh3_p2k.

 

Update2:

Это пример папки запуска с шифрованием *09yum1_p2k

2025-11-01 13:16 - 2024-03-01 13:58 - 000000000 __SHD C:\Users\JF\AppData\Local\{C8A45BDA-41A3-AF52-CFEA-E91541C6516D}

И такая папка есть на вашем устройстве. Значит как минимум было два запуска шифровальщика.

Можно было оценить по обоим случаям количество зашифрованных файлов и важность зашифрованных файлов, чтобы выбрать какой дешифратор важнее для вас.

 

Update3:

Найдены оба сэмпла Pay2Key с шифрованием 09yum1_p2k и *ke2kbh3_p2k
Используем скрипт Mimic_id.py из репозитария.
Получаем uuid для папок, куда установщик распаковывает файлы шифровальщика.
09yum1_p2k
uuid: C8A45BDA-41A3-AF52-CFEA-E91541C6516D
ke2kbh3_p2k
uuid: 3E8ECB53-9B56-7369-B7AB-03242785B23F

 

Изменено 28 ноября пользователем safety

[safety]

Судя по файлам, шифрование было 11.11.2025, логи созданы только 17.11.2025, система так и оставалась неочищенной после шифрования

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(services.exe ->) (Avast Software s.r.o. -> AVAST Software) C:\Program Files\Avast Software\Avast\wsc_proxy.exe
HKLM\...\Run: [browser.exe] => notepad.exe "C:\temp\HowToRestoreFiles.txt" (Нет файла) <==== ВНИМАНИЕ
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Value.vbs [2025-11-06] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\Users\Anna:id [32]
Task: {A9C6B80E-231E-4974-BB52-BC7203229D3B} - System32\Tasks\roblokse.exe => C:\Users\Anna\AppData\Roaming\roblokse.exe [4873752 2025-11-06] (My Company) [Файл не подписан] <==== ВНИМАНИЕ
R2 wsc_proxy; C:\Program Files\Avast Software\Avast\wsc_proxy.exe [56912 2024-05-24] (Avast Software s.r.o. -> AVAST Software)
2025-11-11 13:58 - 2025-11-11 13:58 - 002964250 _____ (Oleg N. Scherbakov) C:\Users\Anna\AppData\Roaming\sfx-i386-amd64.exe
2025-11-11 13:25 - 2025-11-11 13:25 - 000451584 _____ C:\Users\Anna\AppData\Roaming\testbot11112025.exe
2025-11-11 13:15 - 2025-11-16 16:53 - 000000000 ____D C:\temp1
2025-11-16 17:16 - 2025-11-17 09:17 - 000000000 ____D C:\temp
2025-11-11 13:59 - 2025-11-11 13:59 - 000000000 ____D C:\ProgramData\Avast Software
2025-11-11 13:59 - 2025-11-11 13:59 - 000000000 ____D C:\Program Files\Avast Software
2025-11-06 14:04 - 2025-11-06 14:04 - 000003670 _____ C:\Windows\system32\Tasks\roblokse.exe
2025-11-16 15:38 - 2024-03-01 13:58 - 000000000 __SHD C:\Users\Anna\AppData\Local\{C8A45BDA-41A3-AF52-CFEA-E91541C6516D}
2025-11-16 15:38 - 2023-10-02 21:17 - 000000000 __SHD C:\Users\Anna\AppData\Local\{3E8ECB53-9B56-7369-B7AB-03242785B23F}
2025-11-16 15:38 - 2023-01-28 06:42 - 000000000 __SHD C:\Users\Anna\AppData\Local\{6C708A23-6455-1BDF-478D-255D04D3F261}
2025-11-06 14:04 - 2025-11-06 14:04 - 004873752 _____ (My Company) C:\Users\Anna\AppData\Roaming\roblokse.exe
2025-11-11 13:58 - 2025-11-11 13:58 - 002964250 _____ (Oleg N. Scherbakov) C:\Users\Anna\AppData\Roaming\sfx-i386-amd64.exe
2025-11-11 13:15 - 2025-11-11 14:15 - 000974336 _____ () C:\Users\Anna\AppData\Roaming\static-i386-amd64.exe
2025-11-11 13:25 - 2025-11-11 13:25 - 000451584 _____ () C:\Users\Anna\AppData\Roaming\testbot11112025.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Изменено 22 ноября пользователем safety

[Gighall]

Здравствуйте, у нас так же файлы зашифрованы в системе, с этим же расширением "*09yum1_p2k", файлы прикрепляем, что требуется сделать в нашем случае? Прочитав форум, попытался вставить скрпит в программу FRST по очистке системы, результата не дало. Компьютер не можем ни перезагрузить, ни воспользоваться поиском, при попытке перезагрузки пишет - "Нет доступных вариантов управления электропитанием" . Единственное что при открытии зашифрованных файлов, теперь пишет "Не удаётся найти файл С:\temp\HowToRestoreFiles.txt. Вы хотите создать новый файл с таким именем?" Выкуп никакой не делали, есть ли вероятность вернуть файлы?

HowToRestoreFiles.txt л6.jpg.zip

[safety]

31 минуту назад, Gighall сказал:

Здравствуйте, у нас так же файлы зашифрованы в системе, с этим же расширением "*09yum1_p2k", файлы прикрепляем, что требуется сделать в нашем случае?

Не пишите в чужой теме, создайте отдельную новую тему в данном разделе.

Читаем внимательно правила:

«Порядок оформления запроса о помощи».