c77l Шифровальщик READ-ME-Nullhexxx

[АндрейП]

Здравствуйте. Зашифровали два стареньких сервера терминалов, источник не понятен- ещё разбираемся. Подскажите есть шанс на расшифровку? На одном сервере у одного пользователя нашел в папке Pictures остатки вредоносного ПО, на втором в новой созданной злоумышленником учетке system32 почти такие же файлы, пришлю по запросу.

 

файлы.rar

Изменено 8 апреля, 2025 пользователем АндрейП

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[АндрейП]

Я старался сделать в соответствии, возможно уже плохо соображаю, т.к. время очень позднее. Подскажите что не так в моем запросе?

 

[safety]

Логи все на месте.

Активного шифрования сейчас нет.

Пришлите этот архив с паролем virus

2025-04-08 21:01 - 2025-04-08 21:01 - 008800411 _____ C:\Users\ESadohina\Pictures.rar

Лучше загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

[АндрейП]

Здравствуйте, этот архив создал я из папки, т.к. там много всего. Написать в лс не могу - запрет на отправку

 

[safety]

Хорошо, добавьте ссылку на скачивание здесь.

[АндрейП]

update:

файл загружен, ссылка удалена.

Изменено 9 апреля, 2025 пользователем safety
файл загружен, ссылка удалена.

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2025-04-08 21:01 - 2025-04-08 21:01 - 008800411 _____ C:\Users\ESadohina\Pictures.rar
2025-04-08 19:23 - 2025-04-08 19:23 - 011059254 _____ C:\ProgramData\Eclipse.bmp
2025-04-08 19:08 - 2025-04-08 19:08 - 000000811 _____ C:\Users\READ-ME-Nullhexxx.txt
2025-04-08 19:08 - 2025-04-08 19:08 - 000000811 _____ C:\READ-ME-Nullhexxx.txt
2025-04-08 19:08 - 2025-04-08 19:08 - 000000811 _____ C:\ProgramData\READ-ME-Nullhexxx.txt
2025-04-08 19:07 - 2025-04-08 19:07 - 000000811 _____ C:\Users\Public\READ-ME-Nullhexxx.txt
2025-04-08 19:07 - 2025-04-08 19:07 - 000000811 _____ C:\Users\Public\Downloads\READ-ME-Nullhexxx.txt
2025-04-08 19:07 - 2025-04-08 19:07 - 000000811 _____ C:\Users\Public\Documents\READ-ME-Nullhexxx.txt
2025-04-08 19:07 - 2025-04-08 19:07 - 000000811 _____ C:\Users\Public\Desktop\READ-ME-Nullhexxx.txt
2025-04-08 19:07 - 2025-04-08 19:07 - 000000811 _____ C:\Users\ESadohina\READ-ME-Nullhexxx.txt
2025-04-08 19:07 - 2025-04-08 19:07 - 000000811 _____ C:\Users\ESadohina\Downloads\READ-ME-Nullhexxx.txt
2025-04-08 19:07 - 2025-04-08 19:07 - 000000811 _____ C:\Users\ESadohina\Documents\READ-ME-Nullhexxx.txt
2025-04-08 19:07 - 2025-04-08 19:07 - 000000811 _____ C:\Users\ESadohina\Desktop\READ-ME-Nullhexxx.txt
2025-04-08 19:07 - 2025-04-08 19:07 - 000000811 _____ C:\Program Files\READ-ME-Nullhexxx.txt
2025-04-08 19:07 - 2025-04-08 19:07 - 000000811 _____ C:\Program Files\Common Files\READ-ME-Nullhexxx.txt
2025-04-08 19:07 - 2025-04-08 19:07 - 000000811 _____ C:\Program Files (x86)\READ-ME-Nullhexxx.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

----------------

Если нужна помощь по очистке второго сервера, добавьте здесь же логи FRST.

[АндрейП]

Александр, шанс на расшифровку есть или скрипт только очистит от остатков шифровальщика?

Это я к чему? Имеет смысл скопировать несколько зараженных  файлов на отдельный компьютер и там с ними скрипом работать, чтобы на исходном сервере не потерять возможность расшифровки.
Сейчас на сервере некоторые приложения не запускаются, скорее всего будет полная переустановка ОС, непонятно какие ещё исполняемые файлы повреждены. 
Вы можете мне открыть доступ, чтобы я написал вам в личку? Есть ещё информация.
 

[safety]

Ответил, скрипт не затрагивает зашифрованные файлы, в принципе его можно выполнить в любое время, когда вам будет удобно.