c77l Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491

30 марта

Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.

Файлы с файлами прилагаю

OLD.7z

30 марта

9 minutes ago, bakankovaelena said:

Я сама не программист и с утилитой Farbar пока не справилась

не нужно быть программистом, чтобы справиться самостоятельно с утилитой. Тем более по инструкции.

30 марта

Да, логи FRST нужны.

Сложностей там нет. Запустить от имени Администратора, дождаться, пока утилита завершит проверку обновления и будет готова продолжить работе, затем нажать "Сканировать". Ждем когда процесс сканирования завершится, и будут созданы текстовые логи FRST.txt и Addition.txt. Вот они нам и нужны. Без них пока не сможем определить тип.

Изменено 30 марта пользователем safety

31 марта

Вот логи.

Addition.txt FRST.txt

31 марта

Этот файл заархивируйте с паролем virus, добавьте в ваше сообщение.

(svchost.exe ->) () [Файл не подписан] C:\Users\admin\Pictures\HEX\C77L.exe

31 марта

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(svchost.exe ->) () [Файл не подписан] C:\Users\admin\Pictures\HEX\C77L.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\admin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Administrator\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\manager1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Trio\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User07\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User15\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User16\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User19\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User26\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User28\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User31\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User37\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User46\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User63\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User64\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User66\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Авралева И\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\КирпичниковаКВ\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Клепикова ОН\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ПальчиковаМ\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ФинДир\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
C:\Users\admin\Pictures\HEX\C77L.exe
Task: {DF3D0D3B-1CFF-43A7-A9D0-DD70F4BF6424} - System32\Tasks\Windows Update ALPHV => C:\Users\admin\Pictures\HEX\C77L.exe [4405760 2025-03-25] () [Файл не подписан]
2025-03-29 04:42 - 2025-03-31 13:32 - 000003092 _____ C:\Windows\system32\Tasks\Windows Update ALPHV
2025-03-29 04:31 - 2025-03-29 05:46 - 000000000 ____D C:\ProgramData\IObit
2025-03-29 04:31 - 2025-03-29 05:30 - 000000000 ____D C:\Program Files (x86)\IObit
2025-03-29 04:31 - 2025-03-29 04:31 - 000001166 _____ C:\Users\Public\Desktop\IObit Unlocker.lnk
2025-03-29 04:31 - 2025-03-29 04:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

1 апреля

Вот результаты.

Зараза вот тут:

****

Fixlog.txt

Изменено 2 апреля пользователем safety
ссылка удалена

1 апреля

Хорошо, то что надо - попало в карантин, чуть позже отвечу. Судя по Fixlog очистка прошла успешно.

----------

Новый тип добавился - C77L, возможна модификация на основе ранее известных типов: Proton, Proxima.

Пока в стадии анализа.

На текущий момент практически не детектируется основными антивирусными вендорами, за исключение Kaspersky и ESET.

Изменено 3 апреля пользователем safety

c77l Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491

Рекомендуемые сообщения

bakankovaelena

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

bakankovaelena

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

bakankovaelena

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum