Перейти к содержанию

BlackBit

Torry
 Share Подписчики 1

Рекомендуемые сообщения

Torry

Torry 0

Опубликовано
Опубликовано

Здравствуйте. Файли зашифрованы BlackBit, почта для общения с мошенниками roxiyo@onionmail.com. Кто что может подсказать?

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 283

Опубликовано
Опубликовано

Здравствуйте!

 

Скорее всего расшифровки нет. Чтоб сказать точно, нам нужны логи по правилам:

Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты
Torry

Torry 0

Опубликовано
  • Автор
Опубликовано (изменено)

15.10 BlackBit зашифровал данные на компьютере. Затронуто было вирусом документы на диске D. Документы на системном диске, рабочем столе не тронуто. Также почистили почту. Скорей всего доступ был к одному компютеру. На двох других зашифровано только в общедоступных папках Shara. 

Пароль на архив virus 


 

Addition.txt FRST.txt info.rar

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.

 

Shara.rar

Изменено пользователем Torry
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 283

Опубликовано
Опубликовано

Образцы зашифрованных файлов и записку перепакуйте, пожалуйста, в архив с паролем (меня прокси даже не пускает скачать).

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 283

Опубликовано
Опубликовано

Да, получилось. Увы, расшифровки LokiLocker - нет.

Сообщите, нужна ли наша помощь в очистке системы от его следов.

Ссылка на сообщение
Поделиться на другие сайты
Torry

Torry 0

Опубликовано
  • Автор
Опубликовано
27 минут назад, Sandor сказал:

Да, получилось. Увы, расшифровки LokiLocker - нет.

Сообщите, нужна ли наша помощь в очистке системы от его следов.

Да. Помощь понадобится. Или возможно отформатировать диск, переустановить систему будет лучше?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 283

Опубликовано
Опубликовано

Это вам решать, можно и без переустановки.

 

Деинсталлируйте устаревшие и прекратившие поддержку:

Цитата

 

Adobe Flash Player 32 ActiveX

Adobe Flash Player 32 NPAPI

Adobe Flash Player ActiveX+Plugins

Adobe Shockwave Player v.12.3.4.204 + v.10.4.1.53

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{FF9621C6-2E26-4120-AF3E-7DD96904BEAE}] => (Allow) F:\bin\tools\aria2c.exe => Нет файла
FirewallRules: [{795C4E8B-5246-40C6-8650-15FDE3C30834}] => (Allow) LPort=475
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Torry

Torry 0

Опубликовано
  • Автор
Опубликовано
31 минуту назад, Sandor сказал:

Это вам решать, можно и без переустановки.

 

Деинсталлируйте устаревшие и прекратившие поддержку:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{FF9621C6-2E26-4120-AF3E-7DD96904BEAE}] => (Allow) F:\bin\tools\aria2c.exe => Нет файла
FirewallRules: [{795C4E8B-5246-40C6-8650-15FDE3C30834}] => (Allow) LPort=475
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Спасибо. Буду пробовать 

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • JhonD
      шифровальщик Jami_decryptionguy
      От JhonD
      Добрый день, посмотрите, есть ли надежда на восстановление файлов. 
      Addition.txt CONTACT_US.txt FRST.txt АКТ на списание ГСМ.DOCX
    • Шевченко Максим
      Хапнули шифровальщика похоже через RDP, остался файл в корне диска *.hta
      От Шевченко Максим
      Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю  чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.
      FRST.txt Вирус.zip
    • qwedrew
      шифровальщик azot
      От qwedrew
      всем добрый день. утром обнаружили сию бяку. read.zipпо словам it " мастера " был установлен еще и какой-то удаленный доступ левый а-ля vnc. 
      прикладываю логи, архив с зашифрованными файлами и найденный запароленый архив с расшифровщиком.
       
      Addition.txt FRST.txt 7730-decrypter.rar
    • Gupecology
      Вирус BlackBit
      От Gupecology
      Взломали сервер и зашифровали файлы. Требуют выкуп. Из за чего непонятно, возможно взломали через rdp.FRST.txtAddition.txtАрхив WinRAR.rar
×
×
  • Создать...