c77l Словил шифровальщика - Trojan-Ransom.Win64.Generic

[stalkhunter]

Зашифрованы файлы по определению касперского Trojan-Ransom.Win64.Generic. Во вложении один из файлов щшифровщиков

Addition.txt FRST.txt READ-ME.txt Плат поруч. 23.11.12 26 566=02.doc.[mrdarkness@onionmail.org].rar 86.rar

[safety]

Судя по наличию строки в зашифрованном файле файлы зашифрованы C77L

 

:

 

На текущий момент мало кто-детектирует данный сэмпл.

https://www.virustotal.com/gui/file/d5298607e891aa9336506753fd149220f54b719b24976debaf79dcd7abf539ce/detection

+

Характерная для C77L задача:

Цитата

5244 - "C:\Windows\System32\cmd.exe" /c SCHTASKS.exe /Create /RU "NT AUTHORITY\SYSTEM" /sc onstart /TN "Windows Update ALPHV" /TR "C:\Users\<USER>\Desktop\file.exe" /F

 

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-482896275-3625042575-3137232185-1156\...\Run: [YandexDisk2] =>
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\borodin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\dir\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\dispetcher2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\plener\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\sysadmin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-05 15:50 - 2025-09-05 15:50 - 003932214 _____ C:\ProgramData\Eclipse.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 5 часов назад пользователем safety