Перейти к содержанию

Вирус шифровальщик С77L - зашифрованы сервер и несколько ПК


Рекомендуемые сообщения

В ночь на 02 апреля предположительно через RDP были атакованы и зашифрованы сервер и несколько пользовательских ПК. Выделенный исполняемый файл, зараженные документы и требования в архиве.FRST.txtAddition.txtShortcut.txt А также логи после запуска утилиты FRST

Pictures (1).zip

Ссылка на комментарий
Поделиться на другие сайты

По файлам:

С77L --- https://www.virustotal.com/gui/file/53e27a3bef9109eb9b24a694d3690f9c52b23d0c991d8fa1a9cd0ecc446aff91/detection

NASP --- https://www.virustotal.com/gui/file/66c488c1c9916603fc6d7ec00470d30e6f5e3597ad9f8e5ce96a8af7566f6d89

------------

Создайте в uVS дополнительно образ автозапуска.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Ссылка на комментарий
Поделиться на другие сайты

давайте вначале по серверу отработаем, все что надо сделать, затем посмотрим зараженные ПК. Форматировать ничего не надо. Системы пролечим и дальше будут работать. В БИОС этого шифровальщика нет.

 

Ссылка на комментарий
Поделиться на другие сайты

диск Y: это что у вас? почему файл шифровальщика запущен с этого диска?

 

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу БЕЗ перезагрузки системы.

;uVS v4.99.12v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 40
;---------command-block---------
delall Y:\C77L.EXE
apply
QUIT

После завершения работы uVS::

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Ссылка на комментарий
Поделиться на другие сайты

Диск Y - это диск на хранилище Synology. Использовался как файлообменник. Этот способ удалит вирус? И позволит расшифровать в дальнейшем данные?

Ссылка на комментарий
Поделиться на другие сайты

Как говорится, у страха глаза велики. Для удаления файла шифровальщика здесь достаточно обычного скрипта очистки. Диски незачем мучить форматированием.

 

Все что надо сделать - это очистить системы, где был запуск шифровальщика, выполнить анализ причин проникновения злоумышленников на ваши  устройства в сети, + выполнить восстановление данных из ранее созданных бэкапов.

+ провести работу над выявленными ошибками, чтобы через время не попасть под очередной новый (как C77L), или активный (Mimic/Proton/Enmity/Lockbit и т.д.) старый шифровальщик.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • B_KACKE
      Автор B_KACKE
      Здравствуйте!
      Зашифровало сервер 1с и распространилось дальше по сети
      Сервер 1с был просканирован загрузочной флешкой Kaspersky Rescue Tool 24 (скрин и отчет прикрепил)
      Помогите восстановить файлы. Бэкапы тоже зашифровало. Спасибо
      Addition.txt FRST.txt Files.zip Reports_KRT24.zip
    • Zakot
      Автор Zakot
      На сервере вчера вирус зашифровал данные, возможно через RDP попал, сегодня обнаружили.
      virus.zipFRST.txtAddition.txt
    • Keldenis
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • Pristan
      Автор Pristan
      Зашифровались почти все сервера на MS Windows server.
      Пример зашифрованных файлов, требования и логи во вложении.
       
      По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.
       
      Спасибо.
      Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt
    • evg-gaz
      Автор evg-gaz
      Зашифровали все файлы на сервереAddition.txtvirus.rarFRST.txt
×
×
  • Создать...