Перейти к содержанию

Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491


Рекомендуемые сообщения

Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.

Файлы с файлами прилагаю

OLD.7z

Ссылка на комментарий
Поделиться на другие сайты

9 minutes ago, bakankovaelena said:

Я сама не программист и с утилитой Farbar пока не справилась

не нужно быть программистом, чтобы справиться самостоятельно с утилитой. Тем более по инструкции.

Ссылка на комментарий
Поделиться на другие сайты

Да, логи FRST нужны.

Сложностей там нет. Запустить от имени Администратора, дождаться, пока утилита завершит проверку обновления и будет готова продолжить работе, затем нажать "Сканировать". Ждем когда процесс сканирования завершится, и будут созданы текстовые логи FRST.txt и Addition.txt. Вот они нам и нужны. Без них пока не сможем определить тип.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(svchost.exe ->) () [Файл не подписан] C:\Users\admin\Pictures\HEX\C77L.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\admin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Administrator\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\manager1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Trio\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User07\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User15\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User16\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User19\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User26\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User28\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User31\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User37\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User46\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User63\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User64\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User66\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Авралева И\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\КирпичниковаКВ\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Клепикова ОН\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ПальчиковаМ\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ФинДир\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
C:\Users\admin\Pictures\HEX\C77L.exe
Task: {DF3D0D3B-1CFF-43A7-A9D0-DD70F4BF6424} - System32\Tasks\Windows Update ALPHV => C:\Users\admin\Pictures\HEX\C77L.exe [4405760 2025-03-25] () [Файл не подписан]
2025-03-29 04:42 - 2025-03-31 13:32 - 000003092 _____ C:\Windows\system32\Tasks\Windows Update ALPHV
2025-03-29 04:31 - 2025-03-29 05:46 - 000000000 ____D C:\ProgramData\IObit
2025-03-29 04:31 - 2025-03-29 05:30 - 000000000 ____D C:\Program Files (x86)\IObit
2025-03-29 04:31 - 2025-03-29 04:31 - 000001166 _____ C:\Users\Public\Desktop\IObit Unlocker.lnk
2025-03-29 04:31 - 2025-03-29 04:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Хорошо, то что надо - попало в карантин, чуть позже отвечу.  Судя по Fixlog очистка прошла успешно.

----------

Новый тип добавился - C77L, возможна модификация на основе ранее известных типов: Proton, Proxima.

Пока в стадии анализа.

На текущий момент практически не детектируется основными антивирусными вендорами, за исключение Kaspersky и ESET.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • АлександрЛ.
      Автор АлександрЛ.
      Добрый день!
       
      Большая просьба дать инструкции и помочь с дешифровкой, если это возможно.
       
      Названия файлов такие: 20151225_173456.jpg.[MJ-RZ8234915670](decodehop@gmail.com ).hop_dec.
    • barkalova
      Автор barkalova
      Поймали шифровальщик gatilavtuz@msg на рабочую машину,  попросили за дешифровку 400 000р! Есть ли какой то способ вернуть файлы? помогите!
      Addition.txt FRST.txt Desktop.rar
    • Hikasi21
      Автор Hikasi21
      Здравствуйте. 
      Зашифровались все файлы в домене, вирус запускался от имени администратора домена, для восстановления доступа злоумышленники требуют отправить данные на адреса decodehop@gmail.com или hopdec@aidmail.cc

      Лог FRST, пример зашифрованных файлов и архив с вирусом в приложении
       FRST_log.zip  
      encrypted_files.zip virus(password_123).zip
    • dampe
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • Shade_art
      Автор Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
×
×
  • Создать...