c77l READ-ME-Nullhexxx.txt

5 апреля

Добрый день. под шифровку попали 2сервера. терминальный и где стоял sql сервер.

READ-ME-Nullhexxx.txt

\\\\ All your files are encrypted...

All your files have been encrypted !!!

To decrypt them send e-mail to this address : nullhex@2mail.co

If you do not receive a response within 24 hours, Send a TOX message

TOX ID :
5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE

You can access it from here.
https://tox.chat

\\\\ Your ID : {**********}

Enter the ID of your files in the subject !

\\\\ What is our decryption guarantee ?

Before paying you can send us up to 2 test files for free decryption !

The total size of files must be less than 2Mb.(non archived) !

Files should not contain valuable information.(databases,backups) !

6 часов назад, Василий Васильев сказал:

Добрый день. под шифровку попали 2сервера. терминальный и где стоял sql сервер.

READ-ME-Nullhexxx.txt

\\\\ All your files are encrypted...

All your files have been encrypted !!!

To decrypt them send e-mail to this address : nullhex@2mail.co

If you do not receive a response within 24 hours, Send a TOX message

TOX ID :
5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE

You can access it from here.
https://tox.chat

\\\\ Your ID : {*****}

Enter the ID of your files in the subject !

\\\\ What is our decryption guarantee ?

Before paying you can send us up to 2 test files for free decryption !

The total size of files must be less than 2Mb.(non archived) !

Files should not contain valuable information.(databases,backups) !

Изменено 5 апреля пользователем safety

5 апреля

Здравствуйте!

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему не создавайте, продолжайте здесь.

5 апреля

Добрый вечер! спасибо за ответ. FRS и зашифрованный файл, кладу в архив. хочу дополнить что сканирование выполнялась с чистой системы. virus.rar

5 апреля

Судя по логу, система загружена в режиме восстановления

Цитата

Режим загрузки: Recovery

Почему? В нормальном режиме не загружается?

И что вы подразумеваете под "чистой системой"?

5 апреля

6 минут назад, Sandor сказал:

Судя по логу, система загружена в режиме восстановления

Почему? В нормальном режиме не загружается?

И что вы подразумеваете под "чистой системой"?

Чистой системы - запускался со стрельца. при загрузке сервер просит нажать control alt delete. но система на это не реагирует.

5 апреля

Понятно. Некоторое время подождите, ответит коллега.

5 апреля

5 минут назад, Sandor сказал:

Понятно. Некоторое время подождите, ответит коллега.

Благодарю. смогу запуститься в безопасном режиме, лучше в нем собрать логи?

5 апреля

тело нашел, всем спасибо! как понимаю декриптора нет.

варианты как подцепили заразу?

рдп -сложный пароль, обычные пользователи на сервер не заходят. проброс порта нету.

Изменено 5 апреля пользователем Василий Васильев

5 апреля

46 минут назад, Василий Васильев сказал:

тело нашел,

Добавьте найденный файл +

2025-04-04 19:58 - 2025-04-04 19:58 - 011059254 _____ C:\ProgramData\Eclipse.bmp

в архиве с паролем virus

5 апреля

1 час назад, safety сказал:

Добавьте найденный файл +

2025-04-04 19:58 - 2025-04-04 19:58 - 011059254 _____ C:\ProgramData\Eclipse.bmpvirus.rar

в архиве с паролем virus

фотографию добавил в архив

6 апреля

5 часов назад, Василий Васильев сказал:

фотографию добавил в архив

Халтурщики (разработчики этого шифровальщика), фото обоев стянули у Sauron, но название записки о выкупе не соответствует READ-ME-Nullhexxx.txt. Делают на скорую руку.

Я просил в архив добавить еще этот файл:

Цитата

тело нашел, всем спасибо!

Изменено 6 апреля пользователем safety

6 апреля

10 часов назад, safety сказал:

Прикладываю тело к архиву. это какой то новый C77L ?

Изменено 6 апреля пользователем safety
Файл ззагружен и удален

6 апреля

Возможно, что модификация первоначального варианта

https://virusscan.jotti.org/ru-RU/filescanjob/kct1yvfoix

db8e99821ac0306adda29f44799b5c5b9ebb1e24

Результат проверки на VT:

https://www.virustotal.com/gui/file/5c4a51547d18d0643de774de430d66f626231668eddf99685c02d2538eb61aae?nocache=1

предыдущий хэш был:

8DB33A33FB27B3D15A73162AE62BA6CF72EE2CE5

+

проверьте ЛС.

Изменено 8 апреля пользователем safety

6 апреля

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
NETSVC: MsB893EC62App -> отсутствует путь к файлу.
NETSVC: MsB893EC62AppA -> отсутствует путь к файлу.
NETSVC: MsB893EC62AppB -> отсутствует путь к файлу.
NETSVC: MsB893EC62AppBak -> отсутствует путь к файлу.
NETSVC: MsB893EC62AppC -> отсутствует путь к файлу.
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
2025-04-04 19:58 - 2025-04-04 19:58 - 011059254 _____ C:\ProgramData\Eclipse.bmp
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\Users\Администратор\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\Users\Администратор\Downloads\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\Users\Администратор\Documents\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\Users\Администратор\Desktop\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\READ-ME-Nullhexxx.txt
2025-04-04 19:57 - 2025-04-04 19:57 - 000000811 _____ C:\ProgramData\READ-ME-Nullhexxx.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

остальные файлы

READ-ME-Nullhexxx.txt

можно удалить вручную путем поиска в системе.

Если второй сервер необходимо проверить, добавьте для него логи FRST (файлы Addition.txt и FRST.txt)

Общие рекомендации:

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 6 апреля пользователем safety

9 апреля

Просьба скинуть скрипт или описать порядок расшифровки файлов этого шифровальщика.

c77l READ-ME-Nullhexxx.txt

Рекомендуемые сообщения

Василий Васильев

Sandor

Василий Васильев

Sandor

Василий Васильев

Sandor

Василий Васильев

Василий Васильев

safety

Василий Васильев

safety

Василий Васильев

safety

safety

Lorgan

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum