Предварительный отчет - с компа жертвы.
Вчера пришел архив якобы с счетом на оплату, после распаковки, открылся текстовый документ с заголовком PAYCRYPT.
в тот же момент в файлах (фото, документы) появилось доп расширение .PAYCRYPT_gmail_com.
Менеджер сразу сообщил мне, я в экстренном порядке выключил ПК.
загрузился с флешки, проверил зайцевым все диски, он ругался на несколько DLL я их отправил в карантин. (на всякий случай) ибо лежали они в системных папках.
После - с той же загрузочной флешки, я убрал расширение .PAYCRYPT_gmail_com с одного из документов, он преобразовался в обычный документ ворд, с вполне читабельным содержанием.
После, пошел в содержимое присланного архива. там был батник, открыл, посмотрел он в тем папку закинул два файла (1 ексешник, 1 батник) названия могут менятся в зависимости от отправителя и создателя крипта, но все же они прописаны в батнике присланного в письме.
Далее, с рабочего стола удалил появившийся текст документ PAYCRYPT.txt с "Инструкцией", перезагрузил пк, но эта "инструкция" все же появлялась при входе в винду.
Открыл Реестр (regedit) и искал все что имеет PAYCRYPT. нашлось несколько переменных, одна из них вызывала данное окно под видом WinHelp. удалил.
Переименовал еще один файл - убрал доп расширение. Файл оказался вполне читабелен.
Затем думал как можно убрать массово это доп расширение, что бы не мучатся в ручную. На помощь пришел тотал командер.
Начал искать по масте *.PAYCRYPT_gmail_com нашлось уйма файлов на трех разных дисках.
Нажал перенести на панель все файлы появились в отдельном окне, при помощи Ctrl+A все выдели, затем CTRl+M, указал что .PAYCRYPT_gmail_com нужно заменить на пустоту, то есть убрать данное доп расширение.
Все все файлы живы целы и работают. Но небольшое опасение было в содержании самого PAYCRYPT в котором говорится что на следующий день если не в веду "Ключ" то всем файлам *.опа.
На всякий случай я перенес на независимый носитель все документы которые были подвергнуты изменению.
И вот наступил следующий день, включаю ПК, никаких сообщений, все файлы имеют "РОДНОЕ" расширение, и вполне читабельны.
Почему файлы не заразились, или еще не время пока не понятно.
Полный тест поставлю на отдельно собранной машине на выходных, попробую 3 варианта, 1 следовать "инструкции" и все запустить, посмотрев на результат.
Второй - проделаю тоже что и вчера.
Третий - ничего не делать, и в штатном режиме перезапустить пк
Возможно результаты кому то помогут в будущем.