c77l Вирус шифровальщик С77L - зашифрованы сервер и несколько ПК

[Valery030425]

В ночь на 02 апреля предположительно через RDP были атакованы и зашифрованы сервер и несколько пользовательских ПК. Выделенный исполняемый файл, зараженные документы и требования в архиве.FRST.txtAddition.txtShortcut.txt А также логи после запуска утилиты FRST

Pictures (1).zip

[safety]

По файлам:

С77L --- https://www.virustotal.com/gui/file/53e27a3bef9109eb9b24a694d3690f9c52b23d0c991d8fa1a9cd0ecc446aff91/detection

NASP --- https://www.virustotal.com/gui/file/66c488c1c9916603fc6d7ec00470d30e6f5e3597ad9f8e5ce96a8af7566f6d89

------------

Создайте в uVS дополнительно образ автозапуска.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

[Valery030425]

какие действия с зараженными ПК? Достаточно ли форматировать? Или замена винтов? Или вирус может сидеть в Биосе?

 

 

[safety]

давайте вначале по серверу отработаем, все что надо сделать, затем посмотрим зараженные ПК. Форматировать ничего не надо. Системы пролечим и дальше будут работать. В БИОС этого шифровальщика нет.

 

[Valery030425]

Образ автозапуска

SQL_2025-04-04_15-38-16_v4.99.12v x64.7z

[safety]

диск Y: это что у вас? почему файл шифровальщика запущен с этого диска?

 

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу БЕЗ перезагрузки системы.

;uVS v4.99.12v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 40
;---------command-block---------
delall Y:\C77L.EXE
apply
QUIT

После завершения работы uVS::

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

[Valery030425]

Диск Y - это диск на хранилище Synology. Использовался как файлообменник. Этот способ удалит вирус? И позволит расшифровать в дальнейшем данные?

[safety]

О расшифровке речь пока не идет, только по очистке системы.

[Valery030425]

Остается ли вирус после форматирования HDD, SSD, m2? Безопасен ли запуск в работу отформатированных дисков.

 

 

[safety]

Как говорится, у страха глаза велики. Для удаления файла шифровальщика здесь достаточно обычного скрипта очистки. Диски незачем мучить форматированием.

 

Все что надо сделать - это очистить системы, где был запуск шифровальщика, выполнить анализ причин проникновения злоумышленников на ваши  устройства в сети, + выполнить восстановление данных из ранее созданных бэкапов.

+ провести работу над выявленными ошибками, чтобы через время не попасть под очередной новый (как C77L), или активный (Mimic/Proton/Enmity/Lockbit и т.д.) старый шифровальщик.

Изменено 6 апреля, 2025 пользователем safety