Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491

bakankovaelena
 Поделиться

Рекомендуемые сообщения

bakankovaelena

bakankovaelena

Опубликовано
Опубликовано

Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.

Файлы с файлами прилагаю

OLD.7z

thyrex

thyrex

Опубликовано
Опубликовано
9 minutes ago, bakankovaelena said:

Я сама не программист и с утилитой Farbar пока не справилась

не нужно быть программистом, чтобы справиться самостоятельно с утилитой. Тем более по инструкции.

safety

safety

Опубликовано
Опубликовано (изменено)

Да, логи FRST нужны.

Сложностей там нет. Запустить от имени Администратора, дождаться, пока утилита завершит проверку обновления и будет готова продолжить работе, затем нажать "Сканировать". Ждем когда процесс сканирования завершится, и будут созданы текстовые логи FRST.txt и Addition.txt. Вот они нам и нужны. Без них пока не сможем определить тип.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Этот файл заархивируйте с паролем virus, добавьте в ваше сообщение.

(svchost.exe ->) () [Файл не подписан] C:\Users\admin\Pictures\HEX\C77L.exe

 

safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
(svchost.exe ->) () [Файл не подписан] C:\Users\admin\Pictures\HEX\C77L.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\admin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Administrator\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\manager1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Trio\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User07\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User15\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User16\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User19\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User26\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User28\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User31\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User37\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User46\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User63\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User64\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User66\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Авралева И\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\КирпичниковаКВ\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Клепикова ОН\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ПальчиковаМ\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ФинДир\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
C:\Users\admin\Pictures\HEX\C77L.exe
Task: {DF3D0D3B-1CFF-43A7-A9D0-DD70F4BF6424} - System32\Tasks\Windows Update ALPHV => C:\Users\admin\Pictures\HEX\C77L.exe [4405760 2025-03-25] () [Файл не подписан]
2025-03-29 04:42 - 2025-03-31 13:32 - 000003092 _____ C:\Windows\system32\Tasks\Windows Update ALPHV
2025-03-29 04:31 - 2025-03-29 05:46 - 000000000 ____D C:\ProgramData\IObit
2025-03-29 04:31 - 2025-03-29 05:30 - 000000000 ____D C:\Program Files (x86)\IObit
2025-03-29 04:31 - 2025-03-29 04:31 - 000001166 _____ C:\Users\Public\Desktop\IObit Unlocker.lnk
2025-03-29 04:31 - 2025-03-29 04:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

bakankovaelena

bakankovaelena

Опубликовано
  • Автор
Опубликовано (изменено)

Вот результаты.

Зараза вот тут:

****

Fixlog.txt

Изменено пользователем safety
ссылка удалена
safety

safety

Опубликовано
Опубликовано (изменено)

Хорошо, то что надо - попало в карантин, чуть позже отвечу.  Судя по Fixlog очистка прошла успешно.

----------

Новый тип добавился - C77L, возможна модификация на основе ранее известных типов: Proton, Proxima.

Пока в стадии анализа.

На текущий момент практически не детектируется основными антивирусными вендорами, за исключение Kaspersky и ESET.

Изменено пользователем safety
  • 4 месяца спустя...
KONDORNV

KONDORNV

Опубликовано
Опубликовано

Добрый день! На своих компьютерах основной exe-шник C77Д.exe везде удален, однако по требованию Заказчика, необходимо предоставить HASH-сумму этого файла, и провести диагностику на "хвосты". Нет ли у кого хэша этого вирус-шифровщика C77L.exe?

safety

safety

Опубликовано
Опубликовано

@KONDORNV,

не пишите в чужой теме, создайте новую тему в данном разделе, опишите с какой проблемой вы столкнулись.

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • tentacruel74
      Шифровальщик C77L
      Автор tentacruel74
      Добрый день.
      Зашифровало несколько серверов, помогите расшифровать.
      требования.rarvirus.rarFRST.txtAddition.txt
    • Rrr43
      Вирус Win64/FileCoder.C!AMTB вымогатель зашифровал файлы
      Автор Rrr43
      ОС Windows 10 
      Утром пользователь увидел сообщение о том что все файлы зашифрованы 
      Windows Defender был выключен, сам вирус был обнаружен в папке пользователя Pictures\hex
      Windows Defender обнаружил две угрозы  Ransom :Win64/FileCoder.C!AMTB и Virus:Win32/Mikcer.B
      ОС не переустанавливал, компьютер не перезагружал, едиственное убил процес Everything.exe из папки с вирусом и удалил папку Hex
      Addition.txt FRST.txt вирус.7z зашифрованные файлы.7z
    • Алексей Ал
      Зашифрованы файлы на нескольких серверах
      Автор Алексей Ал
      Добрый день, возможно ли расшифровать файлы?

      На каждом из серверов в 3 ночи создана папка  с таким содержимым
      "D:\Users\199\Pictures\hex\Everything.exe"
      "D:\Users\199\Pictures\hex\Everything.ini"
      "D:\Users\199\Pictures\hex\nullhex@2mail.co.exe"
      "D:\Users\199\Pictures\hex\READ-ME.txt"
      "D:\Users\199\Pictures\hex\a.bat.[nullhex@2mail.co].F0C04821"
      "D:\Users\199\Pictures\hex\Everything.db"
       
      так же при загрузке одного из серверов вылезла ошибка о не найденном файле 26a77629.vbs в "D:\Users\199\AppData\Local\Temp\"
       
      Прикладываю файлы и результаты анализа по одному из серверов.
      Addition.txt FRST.txt FILE.7z
    • rumslava
      Зашифрован сервер
      Автор rumslava
      Добрый день. Сегодня зашифровали сервер, ориентировочно по RDP.  Сам вирус найти не удалось в файлах. Прикладываю архив с зашифрованными файлами и письмом о выкупе и результаты сканирования. 
      FRST.txt files.rar Addition.txt
    • TAMZAN
      Нужна помощь, заражён сервер и несколько пк Вирусом вымогателем
      Автор TAMZAN
      FRST.txtAddition.txt
      Добрый день утром запустили пк, а на рабочих столах вот такое сообщение с вымогателем, нужна помощь в очистке системы и возможности в дальнейшем в расшифровке файлов. Спасибо
      svr2 logi frst.rar
      SVR2_2026-02-14_15-08-15_v5.0.3v x64.7z
×
×
  • Создать...