Перейти к содержанию

Шифровальщик-вымогатель C77L ZerSrv@mail2tor.co


Рекомендуемые сообщения

Здравствуйте. Словили шифровальщик через RDP, файл шифровальщика удалось найти на рабочем столе учетки Администратора. Зашифровать успел не все, но важным документам и базам 1С досталось. Осложняется все тем, что админ приходящий и он в текущей ситуации стал "очень занят". Прошу помочь с лечением системы и по возможности с расшифровкой, т.к. неизвестно есть ли бэкапы. Систему не лечили никак, логи FRST, зашифрованные фалы и записку прилагаю. Есть нешифрованные версии некоторых файлов, если понадобятся. 

Addition.txt FRST.txt Zersrv.zip

Ссылка на комментарий
Поделиться на другие сайты

Сделайте проверку системы в KVRT. После завершения проверки добавьте папку с отчетами о сканировании, в архиве без пароля.

Ссылка на комментарий
Поделиться на другие сайты

5 часов назад, safety сказал:

Сделайте проверку системы в KVRT. После завершения проверки добавьте папку с отчетами о сканировании, в архиве без пароля.

 

KVRT2020_Data.zip

Ссылка на комментарий
Поделиться на другие сайты

Этот файл если сохранился на диске, добавьте в архив с паролем virus  и добавьте архив в ваше сообщение.

            <Event8 Action="Detect" Time="133933076714738791" Object="C:\Users\Администратор\Desktop\000\C77L.exe" Info="HEUR:Trojan-Ransom.Win64.Generic" />

 

Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, safety сказал:

Этот файл если сохранился на диске, добавьте в архив с паролем virus  и добавьте архив в ваше сообщение.

            <Event8 Action="Detect" Time="133933076714738791" Object="C:\Users\Администратор\Desktop\000\C77L.exe" Info="HEUR:Trojan-Ransom.Win64.Generic" />

 

 

C77L.zip

Ссылка на комментарий
Поделиться на другие сайты

Да, это файл шифровальщика. Очевидно запускали вручную.

https://www.virustotal.com/gui/file/4971bf99a4ba045ff2ec2e7c4a1ff4478a0b44608cab1c51d78224b0d14a748a?nocache=1

файл можно удалить.

+

проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа, которого у нас нет.

 

еперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, alexex сказал:

та же ситуация, поймали этот же шифровальщик

Создайте отдельную тему в данном разделе с файлами и логами, согласно правил, не пишите в чужой теме.

Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • norma.ekb
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Rome0
      Автор Rome0
      15.02 ночью. Судя по всему RDP. На комп был проброшен нестандартный порт. Комп для удаленного подключения был включен круглосуточно. Все бы ничего, но остались незавершенные сессии с сетевым хранилищем NAS и там тоже все зашифровало... Все файлы с расширением .kwx8
      Без Вашей помощи не обойтись явно.
      Desktop.zip
    • Always_Young
      Автор Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
    • kocks33
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...