Перейти к содержанию

С77L зашифровали сервера 1С

VladDos
 Поделиться

Рекомендуемые сообщения

VladDos

VladDos

Опубликовано
Опубликовано

11.06.25 в 4:50 были зашифрованы сервера с базами 1С, в ходе поисков были обнаружены инструменты хакеров и некоторые части дешифратора(который явно не должно было быть).

Текстовый файлик с инструкцией для выкупа - стандартная схема. Да вот только не можем толку дать, что делать с ключем дешифрации и куда его девать чтобы расшифровать наши файлы.

Зашифрованный файлик, декриптор и ключ прикладыDecryptor.zipваю.

safety

safety

Опубликовано
Опубликовано (изменено)

EncryptionKeys.bin - это не ключ дешифрации, этот файл содержит ключи шифрования, но в зашифрованном виде.

Расшифровать этот файл могут только злоумышленники. Только после расшифровки этого файла (EncryptionKeys.bin) будет возможна расшифровка ваших файлов.

------

Цитата

в ходе поисков были обнаружены инструменты хакеров и некоторые части дешифратора(который явно не должно было быть).

Декриптор позаимствовали в сети, или получили от злоумышленников? Понятно, что без ключей дешифрования он не сможет расшифровать файлы.

Изменено пользователем safety
VladDos

VladDos

Опубликовано
  • Автор
Опубликовано
15 часов назад, safety сказал:

EncryptionKeys.bin - это не ключ дешифрации, этот файл содержит ключи шифрования, но в зашифрованном виде.

Расшифровать этот файл могут только злоумышленники. Только после расшифровки этого файла (EncryptionKeys.bin) будет возможна расшифровка ваших файлов.

------

Декриптор позаимствовали в сети, или получили от злоумышленников? Понятно, что без ключей дешифрования он не сможет расшифровать файлы.

декриптор нашелся на зараженном ПК вместе со всем программным комплексом что они использовали при взломе.

Только что, VladDos сказал:

декриптор нашелся на зараженном ПК вместе со всем программным комплексом что они использовали при взломе.

Как бы печально не выглядела общая картина, мы против того, чтобы платить злоумышленникам. И тем самым поддерживать их деятельность.

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, VladDos сказал:

декриптор нашелся на зараженном ПК вместе со всем программным комплексом что они использовали при взломе.

Заархивируйте папку с найденным ПО с паролем virus (возможно это папка Pictures), загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС. (если не получится, то  в ваше сообщение)

Данный декриптор без приватного ключа не сможет расшифровать файлы.

+

проверьте ЛС.

Изменено пользователем safety
VladDos

VladDos

Опубликовано
  • Автор
Опубликовано (изменено)

файл загружен, ссылка удалена.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

судя по зашифрованным файлам шифрование было 11.06, т.е. декриптор был создан 17.06, т.е чуть позже.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • stalkhunter
      Словил шифровальщика - Trojan-Ransom.Win64.Generic
      Автор stalkhunter
      Зашифрованы файлы по определению касперского Trojan-Ransom.Win64.Generic. Во вложении один из файлов щшифровщиков
      Addition.txt FRST.txt READ-ME.txt Плат поруч. 23.11.12 26 566=02.doc.[mrdarkness@onionmail.org].rar 86.rar
    • KONDORNV
      Шифровальщик C77L - Nullhexxx
      Автор KONDORNV
      Такая же проблема! Ночью видимо подобрали пароль к RDP и подселили шифровальщика. машин 8 пострадало, в том числе и файловое хранилище. С чего начать? Помочь можно?
       
      Сообщение от модератора thyrex Перенесено из темы
    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • PsuchO
      Поймал шифровальщик X77C, лёг весь прод, слёзно прошу помощи
      Автор PsuchO
      Всем привет, намедне поймал шифровальщик X77C, эта скотина успела побить все файлы, до которых дотянулась.
      В итоге у всех файлов изменились имена tb73.8382_front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4, а оригинал вот tb73.8382_front.psd
      Плюсом к этому в каждой папке лежал тектовик со следующим описанием
       
      Открыл зашифрованный ps1 скрипт и вот что внутри
       
      Всё это на виртуалках на удалённом хосте, при этом странно, что сам хост не заразили, а вот виртуалки внутри него - заразили, как это вышло и почему, фиг знает.
      Поэтому подрубить проверяльщики через внешние USB и прочее не получится, как я понимаю. Буду рад любым советам и любой помощи.
      Прикладываю зашифрованный файл
      Front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4.zip
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
×
×
  • Создать...