c77l Зашифрованы файлы на нескольких серверах

[Алексей Ал]

Добрый день, возможно ли расшифровать файлы?

На каждом из серверов в 3 ночи создана папка  с таким содержимым
"D:\Users\199\Pictures\hex\Everything.exe"
"D:\Users\199\Pictures\hex\Everything.ini"
"D:\Users\199\Pictures\hex\nullhex@2mail.co.exe"
"D:\Users\199\Pictures\hex\READ-ME.txt"
"D:\Users\199\Pictures\hex\a.bat.[nullhex@2mail.co].F0C04821"
"D:\Users\199\Pictures\hex\Everything.db"

 

так же при загрузке одного из серверов вылезла ошибка о не найденном файле 26a77629.vbs в "D:\Users\199\AppData\Local\Temp\"

 

Прикладываю файлы и результаты анализа по одному из серверов.

Addition.txt FRST.txt FILE.7z

[safety]

Заархивируйте папку *Pictures\hex с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в вашем сообщении.

[Алексей Ал]

3 часа назад, safety сказал:

Заархивируйте папку *Pictures\hex с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в вашем сообщении.

Ссылка на архив с папкой hex https://cloud.mail.ru/public/9KHX/SXdJDBqF8

[safety]

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\RunOnce: [5e91aa9c-5dec-4169-a7da-5be0346dbf33] => "C:\Users\asu1\AppData\Local\Temp\{8d5da72e-d566-412d-aa36-37e01734da6f}\5e91aa9c-5dec-4169-a7da-5be0346dbf33.cmd" (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 AIDA64Driver; \??\C:\Program Files (x86)\AIDA64 Business\kerneld.x64 [X]
S1 bxcaugpk; \??\C:\Windows\system32\drivers\bxcaugpk.sys [X]
S3 vwifibus; \SystemRoot\System32\drivers\vwifibus.sys [X]
2026-03-22 03:26 - 2026-03-22 03:26 - 011059254 _____ C:\ProgramData\Eclipse.bmp
2026-03-22 03:23 - 2026-03-22 03:23 - 000000896 _____ C:\Windows\sysinfo01.bios
C:\Users\199\Pictures\hex
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

[Алексей Ал]

Папка https://cloud.mail.ru/public/1Hdc/TarcudGs5

Fixlog.txt

[safety]

Для доп. анализа системы проверьте ЛС.

------------

 

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

 

Изменено 23 марта пользователем safety