c77l Шифровальщик-вымогатель C77L ZerSrv@mail2tor.co

[Antchernov]

Здравствуйте. Словили шифровальщик через RDP, файл шифровальщика удалось найти на рабочем столе учетки Администратора. Зашифровать успел не все, но важным документам и базам 1С досталось. Осложняется все тем, что админ приходящий и он в текущей ситуации стал "очень занят". Прошу помочь с лечением системы и по возможности с расшифровкой, т.к. неизвестно есть ли бэкапы. Систему не лечили никак, логи FRST, зашифрованные фалы и записку прилагаю. Есть нешифрованные версии некоторых файлов, если понадобятся. 

Addition.txt FRST.txt Zersrv.zip

[safety]

Сделайте проверку системы в KVRT. После завершения проверки добавьте папку с отчетами о сканировании, в архиве без пароля.

[Antchernov]

5 часов назад, safety сказал:

Сделайте проверку системы в KVRT. После завершения проверки добавьте папку с отчетами о сканировании, в архиве без пароля.

 

KVRT2020_Data.zip

[safety]

Этот файл если сохранился на диске, добавьте в архив с паролем virus  и добавьте архив в ваше сообщение.

            <Event8 Action="Detect" Time="133933076714738791" Object="C:\Users\Администратор\Desktop\000\C77L.exe" Info="HEUR:Trojan-Ransom.Win64.Generic" />

 

[Antchernov]

5 минут назад, safety сказал:

Этот файл если сохранился на диске, добавьте в архив с паролем virus  и добавьте архив в ваше сообщение.

            <Event8 Action="Detect" Time="133933076714738791" Object="C:\Users\Администратор\Desktop\000\C77L.exe" Info="HEUR:Trojan-Ransom.Win64.Generic" />

 

 

C77L.zip

[safety]

Да, это файл шифровальщика. Очевидно запускали вручную.

https://www.virustotal.com/gui/file/4971bf99a4ba045ff2ec2e7c4a1ff4478a0b44608cab1c51d78224b0d14a748a?nocache=1

файл можно удалить.

+

проверьте ЛС.

[safety]

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа, которого у нас нет.

 

еперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[alexex]

та же ситуация, поймали этот же шифровальщик. Из ценного на диске только базы 1с 

Есть способ расшифровать?

 

[safety]

1 час назад, alexex сказал:

та же ситуация, поймали этот же шифровальщик

Создайте отдельную тему в данном разделе с файлами и логами, согласно правил, не пишите в чужой теме.