rcru64 Шифровальщик с расширением LOQ

9 декабря

Приветствую!

8 декабря, примерно в 20 часов была замечена активность шифровальщика.

Выявлено шифрование файлов на всех активных компьютерах сети.

Зашифрованные файлы с расширением - .loq

В корне диска C:\ найден файл с раширением .txt следующего содержания:

All Your Files Are Locked And Important Data Downloaded !

Your Files Are No Longer Accessible Don't Waste Your Time, Without Our Decryption Program Nobody Can't Help You .

If Payment Isn't Made After A While We Will Sell OR Publish Some Of Your Data . You Don't Have Much Time!

Your ID : HFXGT

If You Want To Restore Them Email Us : Evo.team1992@gmail.com

If You Do Not Receive A Response Within 24 Hours, Send A Message To Our Second Email : Qqq113168@gmail.com

To Decrypt Your Files You Need Buy Our Special Decrypter In Bitcoin .

Every Day The Delay Increases The Price !! The Decryption Price Depends On How Fast You Write To Us Email.

We Deliver The Decryptor Immediately After Payment , Please Write Your System ID In The Subject Of Your E-mail.

What is the guarantee !

Before Payment You Can Send Some Files For Decryption Test.

If We Do Not Fulfill Our Obligations, No One Does Business With Us , Our Reputation Is Important To Us
It's Just Business To Get Benefits.

===============================================================================

Attention !

Do Not Rename,Modify Encrypted Files .

Do Not Try To Recover Files With Free Decryptors Or Third-Party Programs And Antivirus Solutions Because

It May Make Decryption Harder Or Destroy Your Files Forever !

===============================================================================

Buy Bitcoin !

https://www.kraken.com/learn/buy-bitcoin-btc

https://www.coinbase.com/how-to-buy/bitcoin

Архив.zip

9 декабря

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

11 декабря

Направляю логи

FRST.txt

11 декабря

Цитата

2024-12-08 22:10 - 2024-12-08 22:10 - 000004201 _____ C:\Users\Бухгалтер1\AppData\S-inf.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000003460 _____ C:\Users\Бухгалтер1\AppData\N-Save.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000001340 _____ C:\Users\Бухгалтер1\AppData\S-6748.bat
2024-12-08 22:10 - 2024-12-08 22:10 - 000000686 _____ C:\Users\Бухгалтер1\AppData\S-8459.vbs
2024-12-08 22:10 - 2024-12-08 22:10 - 000000417 _____ C:\Users\Бухгалтер1\AppData\SysMain.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000000138 _____ C:\Users\Бухгалтер1\AppData\S-2153.bat
2024-12-08 22:09 - 2024-02-20 15:54 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Official.exe
2024-12-08 22:09 - 2024-02-20 15:54 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Manual.exe
2024-12-08 22:09 - 2024-02-20 15:53 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Fast.exe

заархивируйте с паролем malware123 и прикрепите архив к следующему сообщению в теме.

11 декабря

Отправляю запрашиваемый архив

Aids.zip

12 декабря

судя по сэмплам Evo.team1992@gmail.com*.exe

Это RCRU64

https://www.virustotal.com/gui/file/11ce7e8787a5177ad0f12ce96fc9ca848f463c4608d935f97d940240453ff00d

--------

Выполните очистку системы в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
2024-12-09 02:37 - 2024-12-09 02:37 - 000006164 _____ C:\Users\Бухгалтер1\Desktop\ReadMe.hta
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\Downloads\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\Documents\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\Desktop\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\AppData\Roaming\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\AppData\Roaming\Microsoft\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\AppData\LocalLow\Restore_Your_Files.txt
2024-12-08 22:13 - 2024-12-08 22:13 - 000001522 _____ C:\Users\Бухгалтер1\Restore_Your_Files.txt
2024-12-08 22:13 - 2024-12-08 22:13 - 000001522 _____ C:\Users\Бухгалтер1\AppData\Restore_Your_Files.txt
2024-12-08 22:13 - 2024-12-08 22:13 - 000001522 _____ C:\Users\Бухгалтер1\AppData\Local\Restore_Your_Files.txt
2024-12-08 22:10 - 2024-12-08 22:10 - 000004201 _____ C:\Users\Бухгалтер1\AppData\S-inf.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000003460 _____ C:\Users\Бухгалтер1\AppData\N-Save.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000001340 _____ C:\Users\Бухгалтер1\AppData\S-6748.bat
2024-12-08 22:10 - 2024-12-08 22:10 - 000000686 _____ C:\Users\Бухгалтер1\AppData\S-8459.vbs
2024-12-08 22:10 - 2024-12-08 22:10 - 000000417 _____ C:\Users\Бухгалтер1\AppData\SysMain.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000000138 _____ C:\Users\Бухгалтер1\AppData\S-2153.bat
2024-12-08 22:09 - 2024-02-20 15:54 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Official.exe
2024-12-08 22:09 - 2024-02-20 15:54 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Manual.exe
2024-12-08 22:09 - 2024-02-20 15:53 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Fast.exe
2024-12-08 22:09 - 2023-01-30 18:42 - 000000031 _____ C:\Users\Бухгалтер1\Desktop\R_cfg.ini
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 12 декабря пользователем safety

12 декабря

Файл Fixlog.txt и ссылка на вирус

https://dropmefiles.com/DCGSU

Fixlog.txt

12 декабря

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа.

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

12 декабря

Можно как-то вычислить как данный шифровальщик попал в систему?

13 декабря

Проверьте ЛС

rcru64 Шифровальщик с расширением LOQ

Рекомендуемые сообщения

Дмитрий Борисович

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Дмитрий Борисович

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Дмитрий Борисович

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Дмитрий Борисович

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Дмитрий Борисович

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum