Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491

bakankovaelena
 Поделиться

Рекомендуемые сообщения

bakankovaelena Новичок

bakankovaelena

Опубликовано
Опубликовано

Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.

Файлы с файлами прилагаю

OLD.7z

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
9 minutes ago, bakankovaelena said:

Я сама не программист и с утилитой Farbar пока не справилась

не нужно быть программистом, чтобы справиться самостоятельно с утилитой. Тем более по инструкции.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Да, логи FRST нужны.

Сложностей там нет. Запустить от имени Администратора, дождаться, пока утилита завершит проверку обновления и будет готова продолжить работе, затем нажать "Сканировать". Ждем когда процесс сканирования завершится, и будут созданы текстовые логи FRST.txt и Addition.txt. Вот они нам и нужны. Без них пока не сможем определить тип.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
(svchost.exe ->) () [Файл не подписан] C:\Users\admin\Pictures\HEX\C77L.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\admin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Administrator\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\manager1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Trio\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User07\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User15\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User16\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User19\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User26\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User28\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User31\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User37\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User46\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User63\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User64\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User66\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Авралева И\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\КирпичниковаКВ\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Клепикова ОН\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ПальчиковаМ\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ФинДир\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
C:\Users\admin\Pictures\HEX\C77L.exe
Task: {DF3D0D3B-1CFF-43A7-A9D0-DD70F4BF6424} - System32\Tasks\Windows Update ALPHV => C:\Users\admin\Pictures\HEX\C77L.exe [4405760 2025-03-25] () [Файл не подписан]
2025-03-29 04:42 - 2025-03-31 13:32 - 000003092 _____ C:\Windows\system32\Tasks\Windows Update ALPHV
2025-03-29 04:31 - 2025-03-29 05:46 - 000000000 ____D C:\ProgramData\IObit
2025-03-29 04:31 - 2025-03-29 05:30 - 000000000 ____D C:\Program Files (x86)\IObit
2025-03-29 04:31 - 2025-03-29 04:31 - 000001166 _____ C:\Users\Public\Desktop\IObit Unlocker.lnk
2025-03-29 04:31 - 2025-03-29 04:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Хорошо, то что надо - попало в карантин, чуть позже отвечу.  Судя по Fixlog очистка прошла успешно.

----------

Новый тип добавился - C77L, возможна модификация на основе ранее известных типов: Proton, Proxima.

Пока в стадии анализа.

На текущий момент практически не детектируется основными антивирусными вендорами, за исключение Kaspersky и ESET.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • aleksey76
      Поймал шифровальщик с отсылкой на этот адрес Rdpdik6@gmail.com. Прошу помощи в расшифровке.
      Автор aleksey76
      архив.7z
    • АлександрЛ.
      Поймали шифровальщик decodehop@gmail.com
      Автор АлександрЛ.
      Добрый день!
       
      Большая просьба дать инструкции и помочь с дешифровкой, если это возможно.
       
      Названия файлов такие: 20151225_173456.jpg.[MJ-RZ8234915670](decodehop@gmail.com ).hop_dec.
    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
×
×
  • Создать...