voidcrypt Новый вид шифровальщика Cortizol

[belisov@gmail.com]

Доброго дня

 

Новый вид шифровальщика cortizolid-XXXXXXXX[cortizol@atomicmail.io].Cortizol при заражении создает подобные файлы

Заходит через RDP со слабыми праролями или через машины сотрудников с поднятыми RDP

Заходит именно человек, запускает скрипт, копируется в папку музыка в моем случае 64.exe и прописывается в реестре

в корнях дисков создает файл key.cortizol

и инструкцию как оплатить

хочет 2500$

 

основные следы приложил в архиве, портит много чего в реестре и в файловой системе, браузеры не работают.

если процесс с вирусом в памяти, то записывать тоже не все позволяет

 

прошу помочь расшифровать, возможно много заражений, тк id имеет много разрядов

пароль от архива cortizol

 

[safety]

Пока мало кто детектирует файл этого шифровальщика.

https://www.virustotal.com/gui/file/7506874f79a445a57796da478f24a22d0efc4376b09526d34343aacd32196456/detection

 

похож на модифицированный вариант Ouroboros/VoidCrypt

---------

update:

новые детекты:

#VoidCrypt / #Cortizol

ESET-NOD32 Win64/Filecoder.AJP Trojan

DrWeb Trojan.Encoder.44474

Kaspersky Trojan.Win32.DelShad.pto

Изменено 22 февраля пользователем safety

[safety]

Очистку выполните из безопасного режима, так как файлы шифровальщика остались в автозапуске,

Антивирус похоже файл 64.exe пока не видит.

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM-x32\...\Run: [CortizolRecovery] => C:\Users\admin\Music\64.exe [5362688 2026-02-19] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticecaption] ALL YOUR FILE ENCRYPTED BY CORTIZOL RANSOMWARE
HKLM\...\Policies\system: [legalnoticetext] Your personal ID: id-3524778990
HKU\S-1-5-21-1344131155-1098657104-3784067221-1001\...\Run: [CortizolRecovery] => C:\Users\admin\Music\64.exe [5362688 2026-02-19] () [Файл не подписан]
HKU\S-1-5-21-1344131155-1098657104-3784067221-1001\...\RunOnce: [CortizolRecovery] => C:\Users\admin\Music\64.exe [5362688 2026-02-19] () [Файл не
Task: {96AAB107-5E40-4177-A54C-CFC9D75C760C} - System32\Tasks\App Explorer => C:\Users\admin\AppData\Local\Host App
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

 

и покажите, что вообще есть в этой папке кроме 64.exe

C:\Users\admin\Music\

Изменено 21 февраля пользователем safety

[belisov@gmail.com]

авторан я погасил, ранее. за скрипт спасибо. в папке музыка кроме 64.exe  сопутсвующего нет с идентичными датами. скрин сделаю. лог тоже сделаю. 

при попытках алететь в безопасный режим, выскочила бесконечная ошибка без номера. пришлось чинить и запускать безопасный режим обходнвми методами.

на второй поврежденной машине повредило учетки пользователей, ни один из паролей не подходит. постараюсь полечить потом лог кинуть. ни касп ни док ничего не заметили. при том касп вообще удалили из системы, был не запаролен.

[belisov@gmail.com]

4 часа назад, safety сказал:

Очистку выполните из безопасного режима, так как файлы шифровальщика остались в автозапуске,

Антивирус похоже файл 64.exe пока не видит.

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM-x32\...\Run: [CortizolRecovery] => C:\Users\admin\Music\64.exe [5362688 2026-02-19] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticecaption] ALL YOUR FILE ENCRYPTED BY CORTIZOL RANSOMWARE
HKLM\...\Policies\system: [legalnoticetext] Your personal ID: id-3524778990
HKU\S-1-5-21-1344131155-1098657104-3784067221-1001\...\Run: [CortizolRecovery] => C:\Users\admin\Music\64.exe [5362688 2026-02-19] () [Файл не подписан]
HKU\S-1-5-21-1344131155-1098657104-3784067221-1001\...\RunOnce: [CortizolRecovery] => C:\Users\admin\Music\64.exe [5362688 2026-02-19] () [Файл не
Task: {96AAB107-5E40-4177-A54C-CFC9D75C760C} - System32\Tasks\App Explorer => C:\Users\admin\AppData\Local\Host App
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

 

и покажите, что вообще есть в этой папке кроме 64.exe

C:\Users\admin\Music\

virus.7z

[safety]

Для доп. анализа проверьте ЛС.

 

С расшифровкой файлов по данному типу не сможем помочь.

Сохраните важные зашифрованный файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 23 февраля пользователем safety