c77l Поймал шифровальщик X77C, лёг весь прод, слёзно прошу помощи

[PsuchO]

Всем привет, намедне поймал шифровальщик X77C, эта скотина успела побить все файлы, до которых дотянулась.
В итоге у всех файлов изменились имена tb73.8382_front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4, а оригинал вот tb73.8382_front.psd
Плюсом к этому в каждой папке лежал тектовик со следующим описанием
 

Цитата

>>> ALL YOUR IMPORTANT FILES ARE STOLEN AND ENCRYPTED <<<

 

Important:

- We have downloaded your files. Your data will be leaked within the next 72 hours.

- Contact us immediately to prevent data leakage and recover your files.

 

Your Decryption ID: BAE12624

 

Contact:

- Email-1: recovery-data09@protonmail.com

- Email-2: Emilygoodgirl09@gmail.com

- Telegram: @Data_recovery09

 

Do not message data recovery companies, they will scam you.

If you have a data recovery palace, send a message to the email or Telegram ID.

 

If you don't message us within 72 hours and don't agree with us, we will leak all your files and publish them on famous sites!!

 

Warning:

- Tampering with files or using third-party tools WILL cause permanent damage.

- Act fast! The price will increase if you delay.

 

Free Decryption:

- Send 3 small files (max 1MB) for free decryption.

Открыл зашифрованный ps1 скрипт и вот что внутри
 

Цитата

LockedByX77C€ Ÿƒu­¶*“i´uØø%é»mJf>|Žc5»û¾mVD_Ø”OþÚš³ ×/IH¬÷ùÚõ±¿ÙQÁ%=žø)°\*&jÀ3*e¶ƒxj2¨”5x7FسyXD>|9²Ã†'y|†ïL”ã¢Á¶±= î(3htRxáfM·ûsÂÚ_+}„¾!¹0ÖéàBE+#Ä*7:gèÎÔ9—‘^¸RÝwË–Á*‘b¹¾z\#âß@†‘â _šÏuz|<‚‰çðWÕ/ú‚þü»gn¯ÒQ5¶$É ×» ¤£<Á D[îN±nd:ûs‡{é´®$+Ó¹Sn¬UÁŸ >ƒB{ûž]HEÔZý\Aq“KˆÊƒ›Š½ÇÏp®Olÿm"ïËع¹ÂSÝA—‚Z+·Ù£šhý¢W\È‘øÕ¸;ˆ•ëj¢f¾ «ˆqú¢Gþºvuм„_­_ e½JH¶£\½p (þꮯlt†nlbòp ¹¨5(2Tغ½ºN'è ‰´+#BO]£õžž·.O–Ž¼ÀIª{=ÆöâwÝ Þ)½ËÄ{ØOãt ÚÊeÙr­«çБ’œ&O¼+&ÌZoÔ#IÔ¸þso• ¬ðûÞ‚6} $

Всё это на виртуалках на удалённом хосте, при этом странно, что сам хост не заразили, а вот виртуалки внутри него - заразили, как это вышло и почему, фиг знает.
Поэтому подрубить проверяльщики через внешние USB и прочее не получится, как я понимаю. Буду рад любым советам и любой помощи.
Прикладываю зашифрованный файл

Front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4.zip

Изменено 23 июля, 2025 пользователем PsuchO

[thyrex]

Здравствуйте.

 

Выполните Правила оформления запроса о помощи

Все необходимое прикрепите к следующему сообщению в текущей теме.

[PsuchO]

Записка с требованиями.zip Зашифрованный файл.zip Logs.7z

[safety]

 

Систему сканировали в KVRT или Cureit? Можете предоставить логи сканирования в архиве, без пароля?

Изменено 23 июля, 2025 пользователем safety

[PsuchO]

2 часа назад, safety сказал:

 

Систему сканировали в KVRT или Cureit? Можете предоставить логи сканирования в архиве, без пароля?

Да, я же в первом сообщении дал пример содержимого зашифрованного файла.
Сканировал через CureIt но не в безопасном режиме, никаких результатов, система чистая была

 

[safety]

Доступ по RDP есть к этим виртуальным машинам?

+

Проверьте ЛС.

+

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 23 июля, 2025 пользователем safety