mimic Нужна помощь с вирусом-шифровальщиком, который добавил к расширению файлов .ywgulm_p2k

[Игорь Мартынов]

Здравствуйте, наш бухгалтер подцепила вирус-шифровальщик pay2key, приложение, которое запустилось: kopiya_1C_doc_d5ef6rewg3ergw5g6rge5. В результате все файлы на компьютере получили расширение .ywgulm_p2k. Требование о выкупе прилагаю. Видел на этом форуме примеры заражения этим же вирусов, люди платили выкуп и получали дешифратор, в том числе выкладывали здесь. Можно ли получить данный дешифратор и попробовать расшифровать свои файлы со своим id.

HowToRestoreFiles.txt Зашифрованные файлы.rar

[Игорь Мартынов]

Прикладываю результаты сканирования программой FRST

Addition.txt FRST.txt

[safety]

52 минуты назад, Игорь Мартынов сказал:

Можно ли получить данный дешифратор и попробовать расшифровать свои файлы со своим id.

Файлы проверю, но под каждый уникальный ID будет свой уникальный приватный ключ, который не подойдет для других, если в записке указан другой ID.

т.е. расширение *ywgulm может быть у многих, но ключи у всех будут  разные.

 

Логи FRST необходимо переделать с правами Администратора.

Запущено с помощью Светлана (ВНИМАНИЕ: Пользователь не является Администратором) на SRV*** (Micro-Star International Co., Ltd. MS-7E02) (13-05-2026 09:44:09)

 

Изменено 13 мая пользователем safety

[Игорь Мартынов]

Прикладываю логи, сделанные под Администратором, с его рабочего места. А заражение началось под пользователем Светлана, подключенным к серверу через RDP. Или нужно логи снять с ее рабочего места, только запустить программу с правами Администратора?

Addition.txt FRST.txt

[safety]

Надо зайти на зашифрованное устройство под пользователем Светлана, но FRST запустить от имени Администратора (на данном устройстве), т.е. придется ввести пароль Администратора на зашифрованном устройстве. Шифрование затронуло только ее профиль (судя по второму логу) и в ее профиле могут быть вредоносные программы.

Изменено 14 мая пользователем safety

[Игорь Мартынов]

Прикладываю результаты сканирования. Само вредоносное приложение kopiya_1C_doc_d5ef6rewg3ergw5g6rge5.exe я удалил в первый день.

Addition.txt FRST.txt

Скажите, какие действия необходимо провести на зараженном устройстве? Какие шансы на возможность расшифровки наших файлов и как долго может занять этот процесс? Гарантирует ли оплата выкупа, что наши файлы расшифруются?

[safety]

По очистке системы:

 

Если это терминальный сервер, то всемпользователем надо будет закрыть сессии, пока сервер не перезагрузится.

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM-x32\...\Run: [] => [X]
Task: {01D0271E-09D5-4EDE-A72B-29DB9F9523D8} - System32\Tasks\ComponentsUpdate => C:\Windows\SysWOW64\wscript.exe [134656 2021-05-08] (Microsoft Windows -> Microsoft Corporation) -> "C:\Users\Ирина\AppData\Roaming\9e688ae.js" 136 <==== ВНИМАНИЕ
Edge HKLM\...\Edge\Extension: [jabjbhgjaidecageckilhonbggakppme]
Edge HKLM-x32\...\Edge\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
Edge HKLM-x32\...\Edge\Extension: [jabjbhgjaidecageckilhonbggakppme]
Edge HKLM-x32\...\Edge\Extension: [pfhgbfnnjiafkhfdkmpiflachepdcjod]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [jabjbhgjaidecageckilhonbggakppme]
CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
CHR HKLM-x32\...\Chrome\Extension: [pfhgbfnnjiafkhfdkmpiflachepdcjod]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc (Нет файла)
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc (Нет файла)
S3 vwifibus; \SystemRoot\System32\drivers\vwifibus.sys (Нет файла)
2026-05-08 14:38 - 2026-05-08 14:38 - 001664186 _____ (456<<DC@4JGA?3AC3FG<I) C:\Users\Светлана\AppData\Roaming\STLnew.exe
2026-05-08 12:41 - 2026-05-08 12:41 - 000355328 _____ C:\Users\Светлана\AppData\Roaming\static-i386-amd64.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении

+

[safety]

Есть ли среди зашифрованных файлов большие файлы: базы, виртуальные машины?

[Игорь Мартынов]

Нет

[safety]

Хорошо, жду результата очистки системы

[Игорь Мартынов]

Прикладываю файлы по очистке системы. Ссылка на архив Quarantine: https://disk.yandex.ru/d/mJyt_JNSX49BwA И все же хотел узнать: Какие шансы на возможность расшифровки наших файлов и как долго может занять этот процесс? И другой путь: гарантирует ли оплата выкупа, что наши файлы расшифруются?

Fixlog_15-05-2026 13.35.51.txt

[safety]

По файлам:

STLnew.exe --- 

Kaspersky HEUR:Backdoor.MSIL.XWorm.gen

https://www.virustotal.com/gui/file/6bd486cfbaef5bcf2102a0d2009274af1db804fb409f2f36b7a765457b3553db

 

Kaspersky Trojan-Ransom.Win32.Mimic.bt

ESET-NOD32 Win32/Filecoder.Mimic.F Trojan

https://www.virustotal.com/gui/file/328dbb06c64422010bb81aa3ed37a62c4110490833dc5109812e730588a58d1c?nocache=1

 

В общем случае, кроме некоторых исключений расшифровка файлов после Mimic невозможна без приватного ключа.

По гарантиям: мы не можем гарантировать действия незнакомых нам людей, тем более киберпреступников. Их мотивы и действия не зависят он наших гарантий. Вопросы по выкупу не обсуждаем в открытых темах.

 

С расшифровкой файлов по данному типу не сможем помочь

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);