c77l Шифровальщик, помогите с расшифровкой

[ВасяАкрил988]

Сегодня с утра обнаружили, что все важные файлы зашифрованы. На экране написано All your files are encrypted.

На рабочем столе находится файл ZerSrv@mail2tor.co.exe. Сканирование показывает наличие HEUR:Trojan.Win32.Generic. Файл заархивировал с паролем virus

 

Возможно как-то расшифровать файлы?

 

 

ZerSrv@mail2tor.co.zip

[Sandor]

Здравствуйте!

 

Выполните в полном объёме Порядок оформления запроса о помощи

[ВасяАкрил988]

Зашифрованные файлы и записка. Так же прикрепляю логи Farbar Recovery Scan Tool.

FRST_log.zip Примеры файлов.zip

[safety]

Судя по зашифрованному файлу, это C77L:

 

Результат проверки файла:

ZerSrv@mail2tor.co.exe

https://www.virustotal.com/gui/file/2fd1a5b6e70512478c6682d3bda89cdb9de8331a60b9811203c988f70423d833/detection

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
2025-05-31 17:04 - 2025-05-31 17:04 - 002359350 _____ C:\ProgramData\Eclipse.bmp
2025-05-31 17:04 - 2025-05-31 17:04 - 000000814 _____ C:\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:04 - 000000814 _____ C:\Users\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:04 - 000000814 _____ C:\Users\Public\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:04 - 000000814 _____ C:\Users\Public\Downloads\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:04 - 000000814 _____ C:\Users\Public\Documents\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:04 - 000000814 _____ C:\Users\Public\Desktop\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:04 - 000000814 _____ C:\ProgramData\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:04 - 000000814 _____ C:\Program Files (x86)\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:03 - 000000814 _____ C:\Program Files\READ-ME-ZerSrv.txt
2025-05-30 16:40 - 2025-05-31 17:03 - 000000814 _____ C:\Program Files\Common Files\READ-ME-ZerSrv.txt
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
FirewallRules: [{925CBF5C-929D-4060-BC78-7DCBFE623155}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{9F9E6D4C-2A64-47B0-A4AA-F6F518FFABF1}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{AA17255D-590C-4351-BAB1-6878309EE967}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{851B5363-DE6F-4285-98F8-3F0D101FF06C}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{AF4DF200-C298-4F5B-BFB0-06B1ACDBFF50}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B2C7B6EA-480B-41EB-8DFB-010020DFEFB4}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Изменено 13 октября пользователем safety

[ВасяАкрил988]

Исправление выполнил. Какие дальнейшие действия?

Fixlog.txt

[safety]

Проверьте ЛС

 

С расшифровкой данных, увы, не сможем помочь без приватного ключа.

 

Как избежать новых ситуаций с шифрованием:

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 15 октября пользователем safety