Перейти к содержанию

Вирус шифровальщик С77L - зашифрованы сервер и несколько ПК


Рекомендуемые сообщения

В ночь на 02 апреля предположительно через RDP были атакованы и зашифрованы сервер и несколько пользовательских ПК. Выделенный исполняемый файл, зараженные документы и требования в архиве.FRST.txtAddition.txtShortcut.txt А также логи после запуска утилиты FRST

Pictures (1).zip

Ссылка на комментарий
Поделиться на другие сайты

По файлам:

С77L --- https://www.virustotal.com/gui/file/53e27a3bef9109eb9b24a694d3690f9c52b23d0c991d8fa1a9cd0ecc446aff91/detection

NASP --- https://www.virustotal.com/gui/file/66c488c1c9916603fc6d7ec00470d30e6f5e3597ad9f8e5ce96a8af7566f6d89

------------

Создайте в uVS дополнительно образ автозапуска.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Ссылка на комментарий
Поделиться на другие сайты

давайте вначале по серверу отработаем, все что надо сделать, затем посмотрим зараженные ПК. Форматировать ничего не надо. Системы пролечим и дальше будут работать. В БИОС этого шифровальщика нет.

 

Ссылка на комментарий
Поделиться на другие сайты

диск Y: это что у вас? почему файл шифровальщика запущен с этого диска?

 

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу БЕЗ перезагрузки системы.

;uVS v4.99.12v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 40
;---------command-block---------
delall Y:\C77L.EXE
apply
QUIT

После завершения работы uVS::

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Ссылка на комментарий
Поделиться на другие сайты

Диск Y - это диск на хранилище Synology. Использовался как файлообменник. Этот способ удалит вирус? И позволит расшифровать в дальнейшем данные?

Ссылка на комментарий
Поделиться на другие сайты

Как говорится, у страха глаза велики. Для удаления файла шифровальщика здесь достаточно обычного скрипта очистки. Диски незачем мучить форматированием.

 

Все что надо сделать - это очистить системы, где был запуск шифровальщика, выполнить анализ причин проникновения злоумышленников на ваши  устройства в сети, + выполнить восстановление данных из ранее созданных бэкапов.

+ провести работу над выявленными ошибками, чтобы через время не попасть под очередной новый (как C77L), или активный (Mimic/Proton/Enmity/Lockbit и т.д.) старый шифровальщик.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • B_KACKE
      Автор B_KACKE
      Здравствуйте!
      Зашифровало сервер 1с и распространилось дальше по сети
      Сервер 1с был просканирован загрузочной флешкой Kaspersky Rescue Tool 24 (скрин и отчет прикрепил)
      Помогите восстановить файлы. Бэкапы тоже зашифровало. Спасибо
      Addition.txt FRST.txt Files.zip Reports_KRT24.zip
    • Pristan
      Автор Pristan
      Зашифровались почти все сервера на MS Windows server.
      Пример зашифрованных файлов, требования и логи во вложении.
       
      По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.
       
      Спасибо.
      Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt
    • evg-gaz
      Автор evg-gaz
      Зашифровали все файлы на сервереAddition.txtvirus.rarFRST.txt
    • Albina
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • foroven
      Автор foroven
      Добрый день. Столкнулись с шифровальщиком. Заражение по-видимому произошло ещё в субботу 22.02.2025 около 19 часов вечера. Зашифрованы документы и базы. 
      Mega.7z
×
×
  • Создать...