c77l Шифровальщик C77L - Nullhexxx

[KONDORNV]

Такая же проблема! Ночью видимо подобрали пароль к RDP и подселили шифровальщика. машин 8 пострадало, в том числе и файловое хранилище. С чего начать? Помочь можно?

 

Сообщение от модератора thyrex

Перенесено из темы

[thyrex]

Выполните Правила оформления запроса о помощи

Все необходимое прикрепите к следующему сообщению в текущей теме.

[KONDORNV]

Ночью 15.08.2025 судя по всему через RPD смогли подключиться на рабочий комп, закинули софт. Нашел папку с переборщиком паролей, взломом профилей. Просканили всю сеть, подобрали пароль к учетке Админа и запустили шифрование. компов 8 включая файловое хранилище пострадали. Какие были выключены - с теми нормально. Какие утром успел вырубить - вроде тоже живые. Сорвался после звонка, примчался в офис - вырубил всю сеть и инет. Потом по мере анализа с CureIt включал по одному те, которые на вид чистые. Анализ FarBar прикладываю. Нужна помощь прежде всего в лечении, а потом уже в расшифровке

Addition.txt FRST.txt

[safety]

Да, запуск шифровальщика на хостах раскатили через задачи:

Task: {2381EB41-9FF6-45F9-A900-33C952796BBF} - System32\Tasks\Windows Update ALPHV => C:\Users\admin\Pictures\Новая  -> папка\HEX\C77L.exe

--------------

Все ПК планируете проверят?

 

Скрипт очистки дописываю.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Task: {3305C3C7-BAF9-4439-8916-3A65AD560734} - \OneDrive Reporting Task-S-1-5-21-30966031-1941866102-3878196175-1001 -> Нет файла <==== ВНИМАНИЕ
C:\Windows\System32\msiexec.exe [69632 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> /i
Task: {65666D38-F9C6-46D5-A722-392F3CFE387E} - System32\Tasks\hgxDmXlKzgyRPOoiX2 => C:\Windows\system32\rundll32.exe [71680 2021-11-22] (Microsoft Windows
Task: {6C51DDB1-B4D9-4C89-A08D-364C6F3A39DC} - System32\Tasks\jukUvcDRtCRhsVAZhPM2 => C:\Windows\system32\rundll32.exe [71680 2021-11-22] (Microsoft
Task: {24DCBF0B-986D-4FFB-B19B-8663C3B239C8} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-30966031-1941866102-3878196175-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {5120F423-5B5C-4E0F-88C5-0149C085141D} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-30966031-1941866102-3878196175-500 =>
Task: {EAEA91C8-4648-4E2D-BB7D-ADB0B3E66BD7} - System32\Tasks\stomach-lunch => C:\ProgramData\sweeper-robot\bin.exe  /H (Нет файла)
Task: {1DBF021A-AB07-4C60-BB87-260AA829BFD3} - System32\Tasks\UclrfmWinSxlXM => C:\Windows\system32\rundll32.exe [71680 2021-11-22] (Microsoft Windows ->
Task: {EBFF0B71-03BC-4A0F-B5F1-AB88719C61BD} - System32\Tasks\waMvyXsXGjTUOKT2 => C:\Windows\system32\rundll32.exe [71680 2021-11-22] (Microsoft Windows
Task: {2381EB41-9FF6-45F9-A900-33C952796BBF} - System32\Tasks\Windows Update ALPHV => C:\Users\admin\Pictures\Новая  -> папка\HEX\C77L.exe
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
CHR DefaultSearchURL: Profile 2 -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Profile 2 -> cdn
CHR DefaultSearchURL: System Profile -> hxxps://xfinder.pro/q?q={searchTerms}
CHR DefaultSearchKeyword: System Profile -> xfinder.pro
CHR DefaultSuggestURL: System Profile -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms}
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HKU\S-1-5-21-30966031-1941866102-3878196175-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bcjfhbahclaolcbkdkckdnnenfeakhbk]
CHR HKU\S-1-5-21-30966031-1941866102-3878196175-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
CHR HKU\S-1-5-21-30966031-1941866102-3878196175-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
2025-08-15 06:46 - 2025-08-15 06:48 - 000003264 _____ C:\Windows\system32\Tasks\Windows Update ALPHV
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 13 часов назад пользователем safety

[KONDORNV]

Провел очистку FRST, фикслог прилагаю. Да, планирую пройти все хосты, даже те которые визуально вроде бы не затронуты - нет явно перименованных файлов

Fixlog.txt

[safety]

С расшифровкой по данному типу шифровальщика к сожалению не сможем помочь без приватного ключа.

[KONDORNV]

Скрипт очисткиможно на всех хостах применять? или же надо учитывать пользователей профили?

[thyrex]

Скрипты пишутся на основе логов. Не факт, что они будут отличаться только именем пользователей.

[KONDORNV]

Значит с каждой зараженной машины буду снимать анализ