dchelp Шифровальщик @BeGood327

[Буп]

Зашифровали данные у всех компьютеров и серверов, что были в сети. Доступа к файлами нет, диски зашифрованы. Сервера весят на "востоновление загрузки" и несколько на запросе пароля с сообщением:

FOR UNLOCK - CONTACT TELEGRAMM @BeGood327

[Буп]

Вымогатели с тг BeGood327 прислали два файл для теста:

DC1.txtPC502.txt

[safety]

Это пароли для расшифровки данных устройств. Жест благотворительности + подтверждение, что все ходы у них записаны.

 

Есть другие устройства, которые остались не зашифрованы? Возможно что задачу с шифрованием раскатили через домен.

[Буп]

Нет, всё устройства стали зашифроваными. 

Да, скорее всего через домен её и раскатали. 

[safety]

Если какое то из устройств расшифруете с помощью предоставленных паролей, сделайте в расшифрованной системе логи FRST.

[Буп]

После сканирования, куда отправить два текстовых файла что создались? 

[safety]

Сюда и отправьте/прикрепите, в архиве без пароля

[Буп]

FRST.zip

[safety]

Эти программы надо деинсталлировать

DiskCryptor 1.1 (HKLM\...\DiskCryptor_is1) (Version: 1.1 - hxxp://diskcryptor.net/)
Mesh Agent (HKLM\...\Mesh Agent) (Version: 2025-03-07 00:44:07.000+03:00 - )

 

Далее,

 

Выполнить очистку в FRST

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-663218133-1469853391-2085969384-3746\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {12447016-A920-48B8-B4B4-244C752551B6} - System32\Tasks\PUpdate => C:\Windows\system32\shutdown.exe [53248 2021-05-08] (Microsoft Windows -> Microsoft Corporation) -> -r -f -t 10
R2 Mesh Agent; C:\Program Files\Mesh Agent\MeshAgent.exe [3482312 2026-02-10] (meshtech.myftp.org-98ccc1 -> ) [Файл не подписан]
2026-02-11 00:09 - 2026-02-11 00:09 - 000003178 _____ C:\Windows\system32\Tasks\PUpdate
2026-02-10 23:02 - 2026-02-10 23:03 - 000000000 ____D C:\Program Files\Mesh Agent
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

+

Проверьте содержимое этой папки:

2026-02-10 23:01 - 2026-02-10 22:57 - 000000000 ____D C:\tmp

так же проверьте содержимое папки среди удаленных файлов, что там еще есть.

Можно с помощью этой программы.

https://rlab.ru/tools/rsaver.html

 

[Буп]

Fixlog.txtQuarantine.zip

[safety]

+

Проверьте содержимое этой папки:

2026-02-10 23:01 - 2026-02-10 22:57 - 000000000 ____D C:\tmp

так же проверьте содержимое этой папки среди удаленных файлов, что там еще есть.

Можно с помощью этой программы.

https://rlab.ru/tools/rsaver.html

Изменено 11 февраля пользователем safety

[Буп]

m.zip

[safety]

Здесь понятно: MeshAgent и DiskCryptor.

Других файлов не было?

Среди удаленных файлов в этой папке нашли что-то?