c77l Шифровальщик C77L

[tentacruel74]

Добрый день.
Зашифровало несколько серверов, помогите расшифровать.
требования.rarvirus.rarFRST.txtAddition.txt

[safety]

В этой папке покажите что есть:

C:\Users\Администратор\Pictures

[tentacruel74]

 

был ещё x-64.exe, но защитник винды удалил его 

[safety]

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(explorer.exe ->) (David Carpenter -> ) C:\Users\Администратор\Pictures\Everything.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2026-05-09 22:00 - 2026-05-09 22:20 - 009510966 _____ C:\ProgramData\Eclipse.bmp
2026-05-09 22:00 - 2026-05-09 22:00 - 000000912 _____ C:\Windows\sysinfo01.bios
2026-05-08 20:01 - 2026-05-11 11:51 - 000000000 ____D C:\Program Files\Mesh Agent
S2 Mesh Agent; C:\Program Files\Mesh Agent\MeshAgent.exe [3484312 2026-05-08] (zersrv.com-4047bc -> ) [Файл не подписан]
C:\Users\Администратор\Pictures
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении

[tentacruel74]

https://dropmefiles.com/4f1dWFixlog.txt

[safety]

Другие сервера будете проверять?

Нужны будут логи FRST.

[tentacruel74]

Addition1.txtFRST1.txtAddition.txtFRST.txt 

с цифрой один сервер, без второй и там и там одинаковые файлы 

FRST.txt

[safety]

x-64.exe заархивируйте с паролем virus, добавьте архив в ваше сообщение.

Логи сейчас все проверю, напишу скрипты очистки.

[tentacruel74]

Добавилx-64.rar

Мне честно говоря от скриптов очистки, не станет ни тепло, ни холодно.
Тут скорее вопрос возможно ли, что-то восстановить, если нет, тогда толку нету, всё равно лучше снести всё и с нуля поднимать, живого места не осталось

Изменено 11 мая пользователем tentacruel74

[safety]

Важно так же понять, каким образом злоумышленники попали в вашу сеть, и смогли получить доступ к серверам.

[tentacruel74]

2 минуты назад, safety сказал:

Важно так же понять, каким образом злоумышленники попали в вашу сеть, и смогли получить доступ к серверам.

Это самый главный вопрос, учитывая, что все серваки друг от друга изолированы и не связаны никак, ни паролями, ни доступами, ни настройками
Всё отличается, начиная от людей которые настраивали, заканчивая провайдерами и местоположениями
Куда копать? Журналы почищены.
На одном из серверов, я находился вместе с злоумышленником и когда он увидел, что я закрыл скрипт выполняющий шифрование, он запустил блокнот и написал "HAHAHAHAHAHA", благо далее последовало отключение сервера физически и надеюсь там бекапы сохранятся

[safety]

По файлу x-64.exe

https://www.virustotal.com/gui/file/0340f0dcd4e83497668e63da21b775400301460f8afff47dd1dd8c9ef2372edd/detection

 

Для доп. анализа проверьте ЛС.

Изменено 11 мая пользователем safety

[safety]

С расшифровкой файлов по данному типу не сможем помочь

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);