pay2key Шифровальщик с расширением .ke2kbh3_p2k

25 ноября, 2025

На почту поступило письмо, во вложении архив с файлом .bat

После запуска документы (docx, xlsx и т.п., при этом, например, .rtf остались не задетыми), а также файлы изображений исчезли/заменены файлами в формате ".ke2kbh3_p2k", которые открываются как текстовый документ с информацией о краже данных и информацией для оплаты.

Зашифровано большинство документов на внутреннем жестком диске, а также одна папка на сервере (вероятнее всего та, в которой велась работа).

Проведено поверхностное сканирование при помощи KVRT, найден HEUR:Trojan.Multi.Ifeodeb.a - во избежание дальнейшего вмешательства пропущен.

Судя по всему - при первом запуске вируса он отключил антивирус, а также закрыл заметную часть запущенных программ.

virus.7z Addition.txt FRST.txt пример зашифрованных файлов + текстовка требований.7z

25 ноября, 2025

Здравствуйте!

Лог FRST.txt неполный. Переделайте, пожалуйста, предварительно отключив антивирус на время сканирования.

25 ноября, 2025

Прикладываю новые

FRST.txt Addition.txt

25 ноября, 2025

Лучше сразу зачистить то что есть, так как файл шифровальщика висит в ОЗУ

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] C:\Users\Gigabyte\AppData\Local\{3E8ECB53-9B56-7369-B7AB-03242785B23F}\browser.exe <4>
HKU\S-1-5-21-2416904918-3518440391-1754225714-1000\...\Run: [browser] => C:\Users\Gigabyte\AppData\Local\{3E8ECB53-9B56-7369-B7AB-03242785B23F}\browser.exe [974336 2025-11-25] () [Файл не подписан]
HKU\S-1-5-18\...\Run: [] => [X]
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer_Service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_w32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_x64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2416904918-3518440391-1754225714-1000\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2416904918-3518440391-1754225714-1000\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-11-25 14:43 - 2025-11-25 14:56 - 000004438 ____C C:\HowToRestoreFiles.txt
2025-11-25 14:43 - 2025-11-25 14:56 - 000000000 ___DC C:\temp
C:\Users\Gigabyte\AppData\Local\{3E8ECB53-9B56-7369-B7AB-03242785B23F}
2023-10-02 21:17 C:\Users\Gigabyte\AppData\Local\{3E8ECB53-9B56-7369-B7AB-03242785B23F}
2025-11-25 14:42 - 2025-11-25 14:42 - 000974336 ____C () C:\Users\Gigabyte\AppData\Roaming\static-i386-amd64.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Изменено 25 ноября, 2025 пользователем safety

26 ноября, 2025

архив с файлами загружен, ссылка удалена

Fixlog.txt

Изменено 26 ноября, 2025 пользователем safety
архив с файлами загружен, ссылка удалена

26 ноября, 2025

Если сохранилось письмо с вредоносным вложением, сохраните письмо в файл в формате EML, Файл EML добавьте в архив с паролем virus, архив добавьте в ваше сообщение.

26 ноября, 2025

письмо.7z

26 ноября, 2025

По файлам из ключевой папки:

sfx-i386-amd64.vexe

https://www.virustotal.com/gui/file/9dccf64f7aad9f7c149f1834d2a6d25bcf34ef90080e45566fd7e0017e8251de?nocache=1

browser.exe - тело шифровальщика

Win32/Filecoder.Mimic.F Trojan

https://www.virustotal.com/gui/file/f7db4f4cca6f6f69fda7733a0adb8b98d9390c8901dd90d582a123ae0023a38e?nocache=1

STLkrip24.vexe

https://www.virustotal.com/gui/file/fc5d6d2c842adef21f087069591058ae99dc850f0aeda424334e84d21882a782

По Mimic/Pay2Key расшифровка файлов возможно только при наличие приватного ключа, которого у нас нет.

Папку с Quarantine можно удалить.

Как избежать новых ситуаций с шифрованием:

Судя по тому что исполняемый файл был запущен из архива, необходимо запретить запуск исполняемых файлов из архивов через локальные политики.

Общие рекомендации:

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 26 ноября, 2025 пользователем safety

26 ноября, 2025

Спасибо.

Случайно не подскажете - помимо шифровки файлов, исчезли кнопки управления питанием, такие как "Выключить" и "Перезагрузка". В реестре исправления внесены, в групповых политиках все по умолчанию, автоматическое исправление также не помогает. Куда можно еще посмотреть?

26 ноября, 2025

Попробуйте обновить систему до 22H2.

pay2key Шифровальщик с расширением .ke2kbh3_p2k

Рекомендуемые сообщения

Comrade Steel

Sandor

Comrade Steel

safety

Comrade Steel

safety

Comrade Steel

safety

Comrade Steel

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum