Решена без расшифровки Подхватил шифровальщик

[Jurok]

Компьютер рабочий, пришло письмо на почту с ссылкой, прошел и началось, все файлы стали блокнотами, компьютеры подключены к одной сети, на другом компе тоже зашифровались файлы, только в gwad1
Прошу помочь мне вылечить компьютер и возможно восстановить файлы

 

[Jurok]

Вот зашиврованный файл

 

[akok]

Знакомо?
O4 - Startup: C:\Users\GO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\InheritanceFlags.vbs => CreateObject("WScript.Shell").Run """C:\Users\GO\AppData\Roaming\InheritanceFlags.exe""" (not signed - no company - 8378B84BB11EDE8CE08B95DADD54796024154E90)
O4 - Startup: C:\Users\GO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Type.vbs => CreateObject("WScript.Shell").Run """C:\Users\GO\AppData\Roaming\Type.exe""" (not signed - no company - D5B3BB14C4228ECAD441CAE611EC9F551BC39971)


"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O26 - Debugger: HKLM\..\agntsvc.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\AutodeskDesktopApp.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\axlbridge.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\bedbh.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\benetns.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\bengien.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\beserver.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\CoreSync.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\Creative Cloud.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\dbeng50.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\dbsnmp.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\encsvc.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\EnterpriseClient.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\fbguard.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\fbserver.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\fdhost.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\fdlauncher.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\httpd.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\isqlplussvc.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\java.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\logoff.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\msaccess.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\MsDtSrvr.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\msftesql.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mspub.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mydesktopqos.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mydesktopservice.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mysqld.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mysqld-nt.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mysqld-opt.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\node.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\ocautoupds.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\ocomm.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\ocssd.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\oracle.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\perfmon.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\pvlsvr.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\python.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\QBDBMgr.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\QBDBMgrN.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\QBIDPService.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\qbupdate.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\QBW32.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\QBW64.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\Raccine.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\Raccine_x86.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\RaccineElevatedCfg.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\RaccineSettings.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\RAgui.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\raw_agent_svc.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\SearchApp.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\SearchIndexer.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\SearchProtocolHost.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\shutdown.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\SimplyConnectionManager.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\sqbcoreservice.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\sql.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\sqlagent.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\sqlbrowser.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\sqlmangr.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\sqlservr.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\sqlwriter.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\Ssms.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\Sysmon.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\Sysmon64.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\taskkill.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\tasklist.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\taskmgr.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\tbirdconfig.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\TeamViewer.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\TeamViewer_Service.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\tomcat6.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\tv_w32.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\tv_x64.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\VeeamDeploymentSvc.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\vsnapvss.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\vxmon.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\wdswfsafe.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\wpython.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\wsa_service.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\wsqmcons.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\wxServer.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\wxServerView.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\xfssvccon.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Office Addin: HKLM\..\MicrosoftDataStreamerforExcel - (Microsoft Data Streamer for Excel) -> C:\Program Files\Microsoft Office\Root\Office16\ADDINS\EduWorks Data Streamer Add-In\MicrosoftDataStreamerforExcel.vsto (not signed - no company - 45623438518C6464183BE7143B2263D9E73D1CAC)
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Судя по результатам это Tongda

Analysis 7f05bf6fd7f5c5bfe0c201d73029439b228bc4d729306f7cea8077f03292fe63 (MD5: FDC4436FA5700E2FF984D25DFCB19A72) Malicious activity - Interactive analysis ANY.RUN

Interactive malware hunting service. Live testing of most type of threats in any environments. No installation and no waiting necessary.

app.any.run

ID Ransomware

Загрузите записку о выкупе и 1 зашифрованный файл для идентификации шифровальщика-вымогателя.

id-ransomware.malwarehunterteam.com

 

[Jurok]

FRST.txt и Addition.txt

Вот они

Судя по результатам это Tongda

Рсшифровать не получится ?
Загружаю записку и файл жму загрузить выкидывает на страницу

 

[akok]

в 99,9% расшифровать ничего невозможно, последний 0,1% это надежда на правоохранителей и детские ошибки при подготовке шифровальщика. А так времена легкой дешифровки прошли.

O4 - Startup: C:\Users\GO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\InheritanceFlags.vbs => CreateObject("WScript.Shell").Run """C:\Users\GO\AppData\Roaming\InheritanceFlags.exe""" (not signed - no company - 8378B84BB11EDE8CE08B95DADD54796024154E90)
O4 - Startup: C:\Users\GO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Type.vbs => CreateObject("WScript.Shell").Run """C:\Users\GO\AppData\Roaming\Type.exe""" (not signed - no company - D5B3BB14C4228ECAD441CAE611EC9F551BC39971)

не ответили, если ваше, то удалю за зря.

 

[Sandor]

Описание вымогателя.

 

[Jurok]

не ответили

В начале загрузки системы вылетают окна с ссылками на эти файлы, нет это не наше

последний 0,1

Мы можем воспользоваться этим процентом ?

В начале загрузки системы вылетают окна с ссылками на эти файлы, нет это не наше

Ну если не получиться восстановить файлы, я тогда буду систему переустанавливать

 

[akok]

Мы можем воспользоваться этим процентом ?

пока без вариантов. Сохраните файлы в отдельную папку + если найдете записку от вымогателя.

Раз переустановка, можно и "похозяйничать"
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Virusscan: C:\Users\GO\AppData\Local\A81A5E4F-AA3B-A464-BCA0-907D80E4D02F\browser.exe
  Startup: C:\Users\GO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\InheritanceFlags.vbs [2025-09-24] () [Файл не подписан]
  Startup: C:\Users\GO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Type.vbs [2025-09-24] () [Файл не подписан]
  C:\Users\GO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\InheritanceFlags.vbs
  C:\Users\GO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Type.vbs
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

begin
DeleteFile(GetAVZDirectory+'FRST_Quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware FRST_Quarantine '+GetSystemDisk+':\FRST\Quarantine\ ', 1, 300000, false);
end.

Файл FRST_Quarantine.7z из папки с распакованной утилитой AVZ (находится в папке AutoLogger) отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

 

[Jurok]

Программа создаст лог-файл (Fixlog.txt)

вот он

FRST_Quarantine.7z отправил по почте

 

[akok]

проверь на вирустотал и опубликуй ссылки на результаты.
с:\Users\GO\AppData\Roaming\Type.exe и с:\Users\GO\AppData\Roaming\InheritanceFlags.exe

 

[Jurok]

с:\Users\GO\AppData\Roaming\Type.exe и с:\Users\GO\AppData\Roaming\InheritanceFlags.exe

Этих файлов нет

 

[akok]

То, что из запускало мы удалил, сохраняйте файлы на черный день и систему под переустановку.

 

[Jurok]

сохраняйте файлы

Сохранил на флешку, все же на дешифратор можно надеяться ?
Файлы важные, договора, комерческие предложения

что из запускало мы удалил

И все же, куда эти файлы делись ?

 

[akok]

После шифрования, обычно, тело вредоноса удаляется.

Сохранил на флешку, все же на дешифратор можно надеяться ?

надеется можно, но гарантий никаких

 

[thyrex]

На данный момент расшифровки pay2key, как мы назвали его на форуме клуба Касперского, нет и вряд ли будет возможна без слива ключей.

 

[Jurok]

слива ключей.

то есть если сами создатели не сольют ключи ?
правильно я понял ?

 

[akok]

Да, или правоохранители эту базу не захватят.