Перейти к содержанию

Рекомендуемые сообщения

Добрый день. под шифровку попали 2сервера. терминальный и где стоял sql сервер.

READ-ME-Nullhexxx.txt

\\\\ All your files are encrypted...

        All your files have been encrypted !!!

        To decrypt them send e-mail to this address : nullhex@2mail.co

        If you do not receive a response within 24 hours, Send a TOX message

        TOX ID :
        5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE

        You can access it from here.
        https://tox.chat


\\\\ Your ID :  {**********}

        Enter the ID of your files in the subject !


\\\\  What is our decryption guarantee ?

        Before paying you can send us up to 2 test files for free decryption !

        The total size of files must be less than 2Mb.(non archived) !

        Files should not contain valuable information.(databases,backups) !

6 часов назад, Василий Васильев сказал:

Добрый день. под шифровку попали 2сервера. терминальный и где стоял sql сервер.

READ-ME-Nullhexxx.txt

\\\\ All your files are encrypted...

        All your files have been encrypted !!!

        To decrypt them send e-mail to this address : nullhex@2mail.co

        If you do not receive a response within 24 hours, Send a TOX message

        TOX ID :
        5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE

        You can access it from here.
        https://tox.chat


\\\\ Your ID :  {*****}

        Enter the ID of your files in the subject !


\\\\  What is our decryption guarantee ?

        Before paying you can send us up to 2 test files for free decryption !

        The total size of files must be less than 2Mb.(non archived) !

        Files should not contain valuable information.(databases,backups) !

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему не создавайте, продолжайте здесь.

Ссылка на комментарий
Поделиться на другие сайты

Добрый вечер! спасибо за ответ. FRS и зашифрованный файл, кладу в архив. хочу дополнить что сканирование выполнялась с чистой системы. virus.rar

Ссылка на комментарий
Поделиться на другие сайты

Судя по логу, система загружена в режиме восстановления

Цитата

Режим загрузки: Recovery

Почему? В нормальном режиме не загружается?

И что вы подразумеваете под "чистой системой"?

Ссылка на комментарий
Поделиться на другие сайты

6 минут назад, Sandor сказал:

Судя по логу, система загружена в режиме восстановления

Почему? В нормальном режиме не загружается?

И что вы подразумеваете под "чистой системой"?

Чистой системы - запускался со стрельца. при загрузке сервер просит нажать control alt delete. но система на это не реагирует.

Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, Sandor сказал:

Понятно. Некоторое время подождите, ответит коллега.

Благодарю. смогу запуститься в безопасном режиме, лучше в нем собрать логи? 

Ссылка на комментарий
Поделиться на другие сайты

тело нашел, всем спасибо! как понимаю декриптора нет.

варианты как подцепили заразу? 

рдп -сложный пароль, обычные пользователи на сервер не заходят. проброс порта нету. 

Изменено пользователем Василий Васильев
Ссылка на комментарий
Поделиться на другие сайты

46 минут назад, Василий Васильев сказал:

тело нашел,

Добавьте найденный файл +

2025-04-04 19:58 - 2025-04-04 19:58 - 011059254 _____ C:\ProgramData\Eclipse.bmp

в архиве с паролем virus

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, safety сказал:

Добавьте найденный файл +

2025-04-04 19:58 - 2025-04-04 19:58 - 011059254 _____ C:\ProgramData\Eclipse.bmpvirus.rar

в архиве с паролем virus

 

фотографию добавил в архив 

Ссылка на комментарий
Поделиться на другие сайты

5 часов назад, Василий Васильев сказал:

фотографию добавил в архив 

Халтурщики (разработчики этого шифровальщика), фото обоев стянули у Sauron, но название записки о выкупе не соответствует READ-ME-Nullhexxx.txt. Делают на скорую руку.

image.png

 

Я просил в архив добавить еще этот файл:

Цитата

тело нашел, всем спасибо!

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

10 часов назад, safety сказал:

Прикладываю тело к архиву. это какой то новый C77L ?

 

Изменено пользователем safety
Файл ззагружен и удален
Ссылка на комментарий
Поделиться на другие сайты

Возможно, что модификация первоначального варианта

https://virusscan.jotti.org/ru-RU/filescanjob/kct1yvfoix

db8e99821ac0306adda29f44799b5c5b9ebb1e24

Результат проверки на VT:

https://www.virustotal.com/gui/file/5c4a51547d18d0643de774de430d66f626231668eddf99685c02d2538eb61aae?nocache=1

 

предыдущий хэш был:

8DB33A33FB27B3D15A73162AE62BA6CF72EE2CE5

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
NETSVC: MsB893EC62App -> отсутствует путь к файлу.
NETSVC: MsB893EC62AppA -> отсутствует путь к файлу.
NETSVC: MsB893EC62AppB -> отсутствует путь к файлу.
NETSVC: MsB893EC62AppBak -> отсутствует путь к файлу.
NETSVC: MsB893EC62AppC -> отсутствует путь к файлу.
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
2025-04-04 19:58 - 2025-04-04 19:58 - 011059254 _____ C:\ProgramData\Eclipse.bmp
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\Users\Администратор\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\Users\Администратор\Downloads\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\Users\Администратор\Documents\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\Users\Администратор\Desktop\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\ProgramData\READ-ME-Nullhexxx.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

остальные файлы

READ-ME-Nullhexxx.txt

можно удалить вручную путем поиска в системе.

 

Если второй сервер необходимо проверить, добавьте для него логи FRST (файлы Addition.txt и FRST.txt)

 

Общие рекомендации:

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Lorgan
      Автор Lorgan
      Здравствуйте!
      Подобрали пароль к RDP и подселили вирус в локальную сеть.
      READ-ME-Nullhexxx.txt
      \\\\ All your files are encrypted... All your files have been encrypted !!! To decrypt them send e-mail to this address : nullhex@2mail.co If you do not receive a response within 24 hours, Send a TOX message TOX ID : 5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE You can access it from here. https://tox.chat \\\\ Your ID : {*********} Enter the ID of your files in the subject ! \\\\ What is our decryption guarantee ? Before paying you can send us up to 2 test files for free decryption ! The total size of files must be less than 2Mb.(non archived) ! Files should not contain valuable information.(databases,backups) ! Compress the file with zip or 7zip or rar compression programs and send it to us  
      Во вложении логи сканирования зашифрованной директории. Сканирование зараженной системы не доступно по причине ее изолирования и удаления.
      Заранее благодарю за помощь!
      Virus.rar
    • АндрейП
      Автор АндрейП
      Здравствуйте. Зашифровали два стареньких сервера терминалов, источник не понятен- ещё разбираемся. Подскажите есть шанс на расшифровку? На одном сервере у одного пользователя нашел в папке Pictures остатки вредоносного ПО, на втором в новой созданной злоумышленником учетке system32 почти такие же файлы, пришлю по запросу.
       
      файлы.rar
×
×
  • Создать...