c77l Шифровальщик C77L - Nullhexxx

[KONDORNV]

Такая же проблема! Ночью видимо подобрали пароль к RDP и подселили шифровальщика. машин 8 пострадало, в том числе и файловое хранилище. С чего начать? Помочь можно?

 

Сообщение от модератора thyrex

Перенесено из темы

[thyrex]

Выполните Правила оформления запроса о помощи

Все необходимое прикрепите к следующему сообщению в текущей теме.

[KONDORNV]

Ночью 15.08.2025 судя по всему через RPD смогли подключиться на рабочий комп, закинули софт. Нашел папку с переборщиком паролей, взломом профилей. Просканили всю сеть, подобрали пароль к учетке Админа и запустили шифрование. компов 8 включая файловое хранилище пострадали. Какие были выключены - с теми нормально. Какие утром успел вырубить - вроде тоже живые. Сорвался после звонка, примчался в офис - вырубил всю сеть и инет. Потом по мере анализа с CureIt включал по одному те, которые на вид чистые. Анализ FarBar прикладываю. Нужна помощь прежде всего в лечении, а потом уже в расшифровке

Addition.txt FRST.txt

[safety]

Да, запуск шифровальщика на хостах раскатили через задачи:

Task: {2381EB41-9FF6-45F9-A900-33C952796BBF} - System32\Tasks\Windows Update ALPHV => C:\Users\admin\Pictures\Новая  -> папка\HEX\C77L.exe

--------------

Все ПК планируете проверят?

 

Скрипт очистки дописываю.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Task: {3305C3C7-BAF9-4439-8916-3A65AD560734} - \OneDrive Reporting Task-S-1-5-21-30966031-1941866102-3878196175-1001 -> Нет файла <==== ВНИМАНИЕ
C:\Windows\System32\msiexec.exe [69632 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> /i
Task: {65666D38-F9C6-46D5-A722-392F3CFE387E} - System32\Tasks\hgxDmXlKzgyRPOoiX2 => C:\Windows\system32\rundll32.exe [71680 2021-11-22] (Microsoft Windows
Task: {6C51DDB1-B4D9-4C89-A08D-364C6F3A39DC} - System32\Tasks\jukUvcDRtCRhsVAZhPM2 => C:\Windows\system32\rundll32.exe [71680 2021-11-22] (Microsoft
Task: {24DCBF0B-986D-4FFB-B19B-8663C3B239C8} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-30966031-1941866102-3878196175-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {5120F423-5B5C-4E0F-88C5-0149C085141D} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-30966031-1941866102-3878196175-500 =>
Task: {EAEA91C8-4648-4E2D-BB7D-ADB0B3E66BD7} - System32\Tasks\stomach-lunch => C:\ProgramData\sweeper-robot\bin.exe  /H (Нет файла)
Task: {1DBF021A-AB07-4C60-BB87-260AA829BFD3} - System32\Tasks\UclrfmWinSxlXM => C:\Windows\system32\rundll32.exe [71680 2021-11-22] (Microsoft Windows ->
Task: {EBFF0B71-03BC-4A0F-B5F1-AB88719C61BD} - System32\Tasks\waMvyXsXGjTUOKT2 => C:\Windows\system32\rundll32.exe [71680 2021-11-22] (Microsoft Windows
Task: {2381EB41-9FF6-45F9-A900-33C952796BBF} - System32\Tasks\Windows Update ALPHV => C:\Users\admin\Pictures\Новая  -> папка\HEX\C77L.exe
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
CHR DefaultSearchURL: Profile 2 -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Profile 2 -> cdn
CHR DefaultSearchURL: System Profile -> hxxps://xfinder.pro/q?q={searchTerms}
CHR DefaultSearchKeyword: System Profile -> xfinder.pro
CHR DefaultSuggestURL: System Profile -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms}
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HKU\S-1-5-21-30966031-1941866102-3878196175-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bcjfhbahclaolcbkdkckdnnenfeakhbk]
CHR HKU\S-1-5-21-30966031-1941866102-3878196175-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
CHR HKU\S-1-5-21-30966031-1941866102-3878196175-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
2025-08-15 06:46 - 2025-08-15 06:48 - 000003264 _____ C:\Windows\system32\Tasks\Windows Update ALPHV
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 15 августа пользователем safety

[KONDORNV]

Провел очистку FRST, фикслог прилагаю. Да, планирую пройти все хосты, даже те которые визуально вроде бы не затронуты - нет явно перименованных файлов

Fixlog.txt

[safety]

С расшифровкой по данному типу шифровальщика к сожалению не сможем помочь без приватного ключа.

[KONDORNV]

Скрипт очисткиможно на всех хостах применять? или же надо учитывать пользователей профили?

[thyrex]

Скрипты пишутся на основе логов. Не факт, что они будут отличаться только именем пользователей.

[KONDORNV]

Значит с каждой зараженной машины буду снимать анализ

[safety]

Разделяйте в этом случае логи. Чтобы было понятно по какому устройству, а лучше добавить логи или группой, или по порядку.

[KONDORNV]

Добрый день! На своих компьютерах основной exe-шник C77L.exe везде удален, однако по требованию Заказчика, необходимо предоставить HASH-сумму этого файла, и провести диагностику на "хвосты". Нет ли у кого хэша этого вирус-шифровщика C77L.exe?

[safety]

Что вы имеете ввиду под требованием Заказчика?

 

Карантин с файлами шифровальщика (C:\Users\admin\Pictures\Новая папка\HEX\C77L.exe) вы нам не предоставили, соответственно хэшей данного файла у нас нет.

Цитата

Разделяйте в этом случае логи. Чтобы было понятно по какому устройству, а лучше добавить логи или группой, или по порядку.

Логов по другим зашифрованным ПК от вас не было.

Изменено 29 августа пользователем safety

[KONDORNV]

У нас две сети. Наша, в которую и проник вирус. И параллельно от головной компании, они нам предоставляют канал с видеонаблюдением. Их структура доменная, мы с ними никак не пересекаемся - просто их линии стоят 3 АРМ с выводом видео на мониторы. Однако, они настаивают на проверке наших компов. AVZ я прогнал на наличие вирусов - чисто. А вот по хэш-поиску затык. Грохнули ж зловреда, нигде не осталось следов. Может у  кого из обращавшихся полный архив был, с самим носителем?

[safety]

42 минуты назад, KONDORNV сказал:

Однако, они настаивают на проверке наших компов. AVZ я прогнал на наличие вирусов - чисто. А вот по хэш-поиску затык.

Не факт что AVZ найдет тела шифровальщиков на ваших ПК. Проверять надо с помощью KVRT и Cureit.

Так же не факт, что хэши из других случаев шифрования со C77L совпадут с хэшем шифровальщика, который атаковал ваши устройства.

Изменено 3 сентября пользователем safety