Перейти к содержанию

Словил шифровальщика - Trojan-Ransom.Win64.Generic

stalkhunter
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по наличию строки в зашифрованном файле файлы зашифрованы C77L

 

image.png:

 

На текущий момент мало кто-детектирует данный сэмпл.

https://www.virustotal.com/gui/file/d5298607e891aa9336506753fd149220f54b719b24976debaf79dcd7abf539ce/detection

+

Характерная для C77L задача:

Цитата

5244 - "C:\Windows\System32\cmd.exe" /c SCHTASKS.exe /Create /RU "NT AUTHORITY\SYSTEM" /sc onstart /TN "Windows Update ALPHV" /TR "C:\Users\<USER>\Desktop\file.exe" /F

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-482896275-3625042575-3137232185-1156\...\Run: [YandexDisk2] =>
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\borodin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\dir\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\dispetcher2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\plener\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\sysadmin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-05 15:50 - 2025-09-05 15:50 - 003932214 _____ C:\ProgramData\Eclipse.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов не сможем помочь без приватного ключа.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Antio
      Зашифровало компьютер
      Автор Antio
      Переустановил windows и поставил программы, после этого диски оказались зашифрованными.
      Addition.txt лог FRST
      В архиве зашифрованные файлы и требование о выкупе.
       
       
      Помогите расшифровать данные.
      FRST.txt pack.zip
    • JIuHkoP
      READ-ME-Nullhexxx.txt
      Автор JIuHkoP
      Добрый день. Зашифровали сервер с данными на 10Тб
      \\\\ All your files are encrypted...
          All your files have been encrypted !!!
          
          To decrypt them send e-mail to this address : nullhex@2mail.co
          
          If you do not receive a response within 24 hours, Send a TOX message
          TOX ID : 
              5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE
          You can access it from here.
          https://tox.chat

      \\\\ Your ID :  {********}
              Enter the ID of your files in the subject !

      \\\\  What is our decryption guarantee ?
          Before paying you can send us up to 2 test files for free decryption !
              
          The total size of files must be less than 2Mb.(non archived) !
              
          Files should not contain valuable information.(databases,backups) !
              
          Compress the file with zip or 7zip or rar compression programs and send it to us
      Есть возможность спасти данные?
    • Алий
      Зашифровали данные на компьютере. Прошу помощи в расшифровке
      Автор Алий
      Сегодня обнаружили , что данные на компьютере зашифрованы. Данные очень важны. Прошу помощи в расшифровке. Логи в архиве прикрепляю.
      virus.rar
    • Дмитрий63
      Шифровальщик ZOD
      Автор Дмитрий63
      Добрый день. Поймали сегодня ночью. Прошу помощи в расшифровке.
      #Restore-My-Files.txt Addition.txt FRST.txt Shortcut.txt Virus.7z
    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
×
×
  • Создать...