c77l READ-ME-Nullhexxx.txt

[Василий Васильев]

Добрый день. под шифровку попали 2сервера. терминальный и где стоял sql сервер.

READ-ME-Nullhexxx.txt

\\\\ All your files are encrypted...

        All your files have been encrypted !!!

        To decrypt them send e-mail to this address : nullhex@2mail.co

        If you do not receive a response within 24 hours, Send a TOX message

        TOX ID :
        5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE

        You can access it from here.
        https://tox.chat

\\\\ Your ID :  {**********}

        Enter the ID of your files in the subject !

\\\\  What is our decryption guarantee ?

        Before paying you can send us up to 2 test files for free decryption !

        The total size of files must be less than 2Mb.(non archived) !

        Files should not contain valuable information.(databases,backups) !

6 часов назад, Василий Васильев сказал:

Добрый день. под шифровку попали 2сервера. терминальный и где стоял sql сервер.

READ-ME-Nullhexxx.txt

\\\\ All your files are encrypted...

        All your files have been encrypted !!!

        To decrypt them send e-mail to this address : nullhex@2mail.co

        If you do not receive a response within 24 hours, Send a TOX message

        TOX ID :
        5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE

        You can access it from here.
        https://tox.chat

\\\\ Your ID :  {*****}

        Enter the ID of your files in the subject !

\\\\  What is our decryption guarantee ?

        Before paying you can send us up to 2 test files for free decryption !

        The total size of files must be less than 2Mb.(non archived) !

        Files should not contain valuable information.(databases,backups) !

 

Изменено 5 апреля пользователем safety

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему не создавайте, продолжайте здесь.

[Василий Васильев]

Добрый вечер! спасибо за ответ. FRS и зашифрованный файл, кладу в архив. хочу дополнить что сканирование выполнялась с чистой системы. virus.rar

[Sandor]

Судя по логу, система загружена в режиме восстановления

Цитата

Режим загрузки: Recovery

Почему? В нормальном режиме не загружается?

И что вы подразумеваете под "чистой системой"?

[Василий Васильев]

6 минут назад, Sandor сказал:

Судя по логу, система загружена в режиме восстановления

Почему? В нормальном режиме не загружается?

И что вы подразумеваете под "чистой системой"?

Чистой системы - запускался со стрельца. при загрузке сервер просит нажать control alt delete. но система на это не реагирует.

[Sandor]

Понятно. Некоторое время подождите, ответит коллега.

[Василий Васильев]

5 минут назад, Sandor сказал:

Понятно. Некоторое время подождите, ответит коллега.

Благодарю. смогу запуститься в безопасном режиме, лучше в нем собрать логи? 

[Василий Васильев]

тело нашел, всем спасибо! как понимаю декриптора нет.

варианты как подцепили заразу? 

рдп -сложный пароль, обычные пользователи на сервер не заходят. проброс порта нету. 

Изменено 5 апреля пользователем Василий Васильев

[safety]

46 минут назад, Василий Васильев сказал:

тело нашел,

Добавьте найденный файл +

2025-04-04 19:58 - 2025-04-04 19:58 - 011059254 _____ C:\ProgramData\Eclipse.bmp

в архиве с паролем virus

[Василий Васильев]

1 час назад, safety сказал:

Добавьте найденный файл +

2025-04-04 19:58 - 2025-04-04 19:58 - 011059254 _____ C:\ProgramData\Eclipse.bmpvirus.rar

в архиве с паролем virus

 

фотографию добавил в архив 

[safety]

5 часов назад, Василий Васильев сказал:

фотографию добавил в архив 

Халтурщики (разработчики этого шифровальщика), фото обоев стянули у Sauron, но название записки о выкупе не соответствует READ-ME-Nullhexxx.txt. Делают на скорую руку.

 

Я просил в архив добавить еще этот файл:

Цитата

тело нашел, всем спасибо!

 

Изменено 6 апреля пользователем safety

[Василий Васильев]

10 часов назад, safety сказал:

Прикладываю тело к архиву. это какой то новый C77L ?

 

Изменено 6 апреля пользователем safety
Файл ззагружен и удален

[safety]

Возможно, что модификация первоначального варианта

https://virusscan.jotti.org/ru-RU/filescanjob/kct1yvfoix

db8e99821ac0306adda29f44799b5c5b9ebb1e24

Результат проверки на VT:

https://www.virustotal.com/gui/file/5c4a51547d18d0643de774de430d66f626231668eddf99685c02d2538eb61aae?nocache=1

 

предыдущий хэш был:

8DB33A33FB27B3D15A73162AE62BA6CF72EE2CE5

+

проверьте ЛС.

Изменено 8 апреля пользователем safety

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
NETSVC: MsB893EC62App -> отсутствует путь к файлу.
NETSVC: MsB893EC62AppA -> отсутствует путь к файлу.
NETSVC: MsB893EC62AppB -> отсутствует путь к файлу.
NETSVC: MsB893EC62AppBak -> отсутствует путь к файлу.
NETSVC: MsB893EC62AppC -> отсутствует путь к файлу.
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
2025-04-04 19:58 - 2025-04-04 19:58 - 011059254 _____ C:\ProgramData\Eclipse.bmp
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\Users\Администратор\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\Users\Администратор\Downloads\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\Users\Администратор\Documents\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\Users\Администратор\Desktop\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\ProgramData\READ-ME-Nullhexxx.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

остальные файлы

READ-ME-Nullhexxx.txt

можно удалить вручную путем поиска в системе.

 

Если второй сервер необходимо проверить, добавьте для него логи FRST (файлы Addition.txt и FRST.txt)

 

Общие рекомендации:

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 6 апреля пользователем safety

[Lorgan]

Просьба скинуть скрипт или описать порядок расшифровки файлов этого шифровальщика.