Перейти к содержанию

Вирус шифровальщик С77L - зашифрованы сервер и несколько ПК

Valery030425
 Поделиться

Рекомендуемые сообщения

Valery030425

Valery030425

Опубликовано
Опубликовано

В ночь на 02 апреля предположительно через RDP были атакованы и зашифрованы сервер и несколько пользовательских ПК. Выделенный исполняемый файл, зараженные документы и требования в архиве.FRST.txtAddition.txtShortcut.txt А также логи после запуска утилиты FRST

Pictures (1).zip

safety

safety

Опубликовано
Опубликовано

По файлам:

С77L --- https://www.virustotal.com/gui/file/53e27a3bef9109eb9b24a694d3690f9c52b23d0c991d8fa1a9cd0ecc446aff91/detection

NASP --- https://www.virustotal.com/gui/file/66c488c1c9916603fc6d7ec00470d30e6f5e3597ad9f8e5ce96a8af7566f6d89

------------

Создайте в uVS дополнительно образ автозапуска.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Valery030425

Valery030425

Опубликовано
  • Автор
Опубликовано

какие действия с зараженными ПК? Достаточно ли форматировать? Или замена винтов? Или вирус может сидеть в Биосе?

 

 

safety

safety

Опубликовано
Опубликовано

давайте вначале по серверу отработаем, все что надо сделать, затем посмотрим зараженные ПК. Форматировать ничего не надо. Системы пролечим и дальше будут работать. В БИОС этого шифровальщика нет.

 

safety

safety

Опубликовано
Опубликовано

диск Y: это что у вас? почему файл шифровальщика запущен с этого диска?

 

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу БЕЗ перезагрузки системы. 

;uVS v4.99.12v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 40
;---------command-block---------
delall Y:\C77L.EXE
apply
QUIT

После завершения работы uVS::

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Valery030425

Valery030425

Опубликовано
  • Автор
Опубликовано

Диск Y - это диск на хранилище Synology. Использовался как файлообменник. Этот способ удалит вирус? И позволит расшифровать в дальнейшем данные?

safety

safety

Опубликовано
Опубликовано

О расшифровке речь пока не идет, только по очистке системы.

Valery030425

Valery030425

Опубликовано
  • Автор
Опубликовано

Остается ли вирус после форматирования HDD, SSD, m2? Безопасен ли запуск в работу отформатированных дисков.

 

 

safety

safety

Опубликовано
Опубликовано (изменено)

Как говорится, у страха глаза велики. Для удаления файла шифровальщика здесь достаточно обычного скрипта очистки. Диски незачем мучить форматированием.

 

Все что надо сделать - это очистить системы, где был запуск шифровальщика, выполнить анализ причин проникновения злоумышленников на ваши  устройства в сети, + выполнить восстановление данных из ранее созданных бэкапов.

+ провести работу над выявленными ошибками, чтобы через время не попасть под очередной новый (как C77L), или активный (Mimic/Proton/Enmity/Lockbit и т.д.) старый шифровальщик.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Grig
      несколько серверов зашифрованы blackbit
      Автор Grig
      Не очень добрый день
      сегодня с утра перестало работать несколько служб. Обнаружили на серверах файлы Cpriv.BlackBit. Серверы были выключены. Файлы зашифрованные пока выслать не могу. Подскажите как правильно действовать далее.
    • LeraB
      Поймали шифровальщика на несколько серверов
      Автор LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • chernikovd
      Поймали шифровальщика на несколько серверов
      Автор chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
    • shadow1406
      blackhunt зашифровал сервера и несколько ПК
      Автор shadow1406
      Доброго дня коллеги, утром пришел на работу а тут все сервера и несколько ПК зашифрованы и в безопасном режиме.
      проверка через KVRT.exe на компах ничего не находит, хотя в корне диска C явно лежит зловредный исполняемый файл с названием x.exe и ярлыком сетевого подключения...
      ниже текст из сообщения в текстовом файле.
      также в приложении архив с паролем 1 там файл ключа и текстовый файл с сообщением от вредителей...
       
       
      As you can see we have penetrated your whole network due some critical network insecurities
      All of your files such as documents, dbs and... Are encrypted and we have uploaded many important data from your machines,
      and believe we us we know what should we collect.

      However you can get your files back and make sure your data is safe from leaking by contacting us using following details :

      Primary email :unlockersup@mail2tor.co
      Secondary [Tox](backup  in case we didn't answer you in 24h) TOX :FE34411808DFAEA6E3A5C864C94AF6B995CDA61A9A4ABFCCA44480B642738A6A898D10B16EE1
      Your machine Id : c6tzCeeG0gL3FtDL 
      use this as the title of your email

      (Remember, if we don't hear from you for a while, we will start leaking data)
      #BlackHunt_Private.zip
    • Paradox0
      Вирус шифровальщик зашифровал все файлы на сервере
      Автор Paradox0
      Был взломан файловый сервер и на нём зашифровались все данные.
      Самого файла с требованиями злоумышленников к сожалению не осталось.
      После шифрования файлов,  уже поменялся сервер и была переустановлена ОС.
       
      [nataliaburduniuc96@gmail.com][id=30A3884B]IMG_1789.JPG.rar [nataliaburduniuc96@gmail.com][id=30A3884B]ТОПы.docx.rar
×
×
  • Создать...