Перейти к содержанию

Шифровальщик-вымогатель C77L ZerSrv@mail2tor.co

Antchernov
 Поделиться

Рекомендуемые сообщения

Antchernov Новичок

Antchernov

Опубликовано
Опубликовано

Здравствуйте. Словили шифровальщик через RDP, файл шифровальщика удалось найти на рабочем столе учетки Администратора. Зашифровать успел не все, но важным документам и базам 1С досталось. Осложняется все тем, что админ приходящий и он в текущей ситуации стал "очень занят". Прошу помочь с лечением системы и по возможности с расшифровкой, т.к. неизвестно есть ли бэкапы. Систему не лечили никак, логи FRST, зашифрованные фалы и записку прилагаю. Есть нешифрованные версии некоторых файлов, если понадобятся. 

Addition.txt FRST.txt Zersrv.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Сделайте проверку системы в KVRT. После завершения проверки добавьте папку с отчетами о сканировании, в архиве без пароля.

Ссылка на комментарий
Поделиться на другие сайты
Antchernov Новичок

Antchernov

Опубликовано
  • Автор
Опубликовано
5 часов назад, safety сказал:

Сделайте проверку системы в KVRT. После завершения проверки добавьте папку с отчетами о сканировании, в архиве без пароля.

 

KVRT2020_Data.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Этот файл если сохранился на диске, добавьте в архив с паролем virus  и добавьте архив в ваше сообщение.

            <Event8 Action="Detect" Time="133933076714738791" Object="C:\Users\Администратор\Desktop\000\C77L.exe" Info="HEUR:Trojan-Ransom.Win64.Generic" />

 

Ссылка на комментарий
Поделиться на другие сайты
Antchernov Новичок

Antchernov

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:

Этот файл если сохранился на диске, добавьте в архив с паролем virus  и добавьте архив в ваше сообщение.

            <Event8 Action="Detect" Time="133933076714738791" Object="C:\Users\Администратор\Desktop\000\C77L.exe" Info="HEUR:Trojan-Ransom.Win64.Generic" />

 

 

C77L.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Да, это файл шифровальщика. Очевидно запускали вручную.

https://www.virustotal.com/gui/file/4971bf99a4ba045ff2ec2e7c4a1ff4478a0b44608cab1c51d78224b0d14a748a?nocache=1

файл можно удалить.

+

проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа, которого у нас нет.

 

еперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
1 час назад, alexex сказал:

та же ситуация, поймали этот же шифровальщик

Создайте отдельную тему в данном разделе с файлами и логами, согласно правил, не пишите в чужой теме.

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • norma.ekb
      Шифровальщик-вымогатель .FONL
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Rome0
      Шифровальщик-вымогатель .kwx8
      Автор Rome0
      15.02 ночью. Судя по всему RDP. На комп был проброшен нестандартный порт. Комп для удаленного подключения был включен круглосуточно. Все бы ничего, но остались незавершенные сессии с сетевым хранилищем NAS и там тоже все зашифровало... Все файлы с расширением .kwx8
      Без Вашей помощи не обойтись явно.
      Desktop.zip
    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      Автор Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
    • kocks33
      шифровальщик JFZRZNDDZ
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...