Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

С77L зашифровали сервера 1С

VladDos
 Поделиться

Рекомендуемые сообщения

VladDos

VladDos

Опубликовано
Опубликовано

11.06.25 в 4:50 были зашифрованы сервера с базами 1С, в ходе поисков были обнаружены инструменты хакеров и некоторые части дешифратора(который явно не должно было быть).

Текстовый файлик с инструкцией для выкупа - стандартная схема. Да вот только не можем толку дать, что делать с ключем дешифрации и куда его девать чтобы расшифровать наши файлы.

Зашифрованный файлик, декриптор и ключ прикладыDecryptor.zipваю.

safety

safety

Опубликовано
Опубликовано (изменено)

EncryptionKeys.bin - это не ключ дешифрации, этот файл содержит ключи шифрования, но в зашифрованном виде.

Расшифровать этот файл могут только злоумышленники. Только после расшифровки этого файла (EncryptionKeys.bin) будет возможна расшифровка ваших файлов.

------

Цитата

в ходе поисков были обнаружены инструменты хакеров и некоторые части дешифратора(который явно не должно было быть).

Декриптор позаимствовали в сети, или получили от злоумышленников? Понятно, что без ключей дешифрования он не сможет расшифровать файлы.

Изменено пользователем safety
VladDos

VladDos

Опубликовано
  • Автор
Опубликовано
15 часов назад, safety сказал:

EncryptionKeys.bin - это не ключ дешифрации, этот файл содержит ключи шифрования, но в зашифрованном виде.

Расшифровать этот файл могут только злоумышленники. Только после расшифровки этого файла (EncryptionKeys.bin) будет возможна расшифровка ваших файлов.

------

Декриптор позаимствовали в сети, или получили от злоумышленников? Понятно, что без ключей дешифрования он не сможет расшифровать файлы.

декриптор нашелся на зараженном ПК вместе со всем программным комплексом что они использовали при взломе.

Только что, VladDos сказал:

декриптор нашелся на зараженном ПК вместе со всем программным комплексом что они использовали при взломе.

Как бы печально не выглядела общая картина, мы против того, чтобы платить злоумышленникам. И тем самым поддерживать их деятельность.

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, VladDos сказал:

декриптор нашелся на зараженном ПК вместе со всем программным комплексом что они использовали при взломе.

Заархивируйте папку с найденным ПО с паролем virus (возможно это папка Pictures), загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС. (если не получится, то  в ваше сообщение)

Данный декриптор без приватного ключа не сможет расшифровать файлы.

+

проверьте ЛС.

Изменено пользователем safety
VladDos

VladDos

Опубликовано
  • Автор
Опубликовано (изменено)

файл загружен, ссылка удалена.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

судя по зашифрованным файлам шифрование было 11.06, т.е. декриптор был создан 17.06, т.е чуть позже.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • tentacruel74
      Шифровальщик C77L
      Автор tentacruel74
      Добрый день.
      Зашифровало несколько серверов, помогите расшифровать.
      требования.rarvirus.rarFRST.txtAddition.txt
    • Rrr43
      Вирус Win64/FileCoder.C!AMTB вымогатель зашифровал файлы
      Автор Rrr43
      ОС Windows 10 
      Утром пользователь увидел сообщение о том что все файлы зашифрованы 
      Windows Defender был выключен, сам вирус был обнаружен в папке пользователя Pictures\hex
      Windows Defender обнаружил две угрозы  Ransom :Win64/FileCoder.C!AMTB и Virus:Win32/Mikcer.B
      ОС не переустанавливал, компьютер не перезагружал, едиственное убил процес Everything.exe из папки с вирусом и удалил папку Hex
      Addition.txt FRST.txt вирус.7z зашифрованные файлы.7z
    • Алексей Ал
      Зашифрованы файлы на нескольких серверах
      Автор Алексей Ал
      Добрый день, возможно ли расшифровать файлы?

      На каждом из серверов в 3 ночи создана папка  с таким содержимым
      "D:\Users\199\Pictures\hex\Everything.exe"
      "D:\Users\199\Pictures\hex\Everything.ini"
      "D:\Users\199\Pictures\hex\nullhex@2mail.co.exe"
      "D:\Users\199\Pictures\hex\READ-ME.txt"
      "D:\Users\199\Pictures\hex\a.bat.[nullhex@2mail.co].F0C04821"
      "D:\Users\199\Pictures\hex\Everything.db"
       
      так же при загрузке одного из серверов вылезла ошибка о не найденном файле 26a77629.vbs в "D:\Users\199\AppData\Local\Temp\"
       
      Прикладываю файлы и результаты анализа по одному из серверов.
      Addition.txt FRST.txt FILE.7z
    • rumslava
      Зашифрован сервер
      Автор rumslava
      Добрый день. Сегодня зашифровали сервер, ориентировочно по RDP.  Сам вирус найти не удалось в файлах. Прикладываю архив с зашифрованными файлами и письмом о выкупе и результаты сканирования. 
      FRST.txt files.rar Addition.txt
    • TAMZAN
      Нужна помощь, заражён сервер и несколько пк Вирусом вымогателем
      Автор TAMZAN
      FRST.txtAddition.txt
      Добрый день утром запустили пк, а на рабочих столах вот такое сообщение с вымогателем, нужна помощь в очистке системы и возможности в дальнейшем в расшифровке файлов. Спасибо
      svr2 logi frst.rar
      SVR2_2026-02-14_15-08-15_v5.0.3v x64.7z
×
×
  • Создать...