Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

BlackBit

Torry
 Share Подписчики 1

Рекомендуемые сообщения

Torry

Torry 0

Опубликовано
Опубликовано

Здравствуйте. Файли зашифрованы BlackBit, почта для общения с мошенниками roxiyo@onionmail.com. Кто что может подсказать?

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 293

Опубликовано
Опубликовано

Здравствуйте!

 

Скорее всего расшифровки нет. Чтоб сказать точно, нам нужны логи по правилам:

Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты
Torry

Torry 0

Опубликовано
  • Автор
Опубликовано (изменено)

15.10 BlackBit зашифровал данные на компьютере. Затронуто было вирусом документы на диске D. Документы на системном диске, рабочем столе не тронуто. Также почистили почту. Скорей всего доступ был к одному компютеру. На двох других зашифровано только в общедоступных папках Shara. 

Пароль на архив virus 


 

Addition.txt FRST.txt info.rar

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.

 

Shara.rar

Изменено пользователем Torry
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 293

Опубликовано
Опубликовано

Образцы зашифрованных файлов и записку перепакуйте, пожалуйста, в архив с паролем (меня прокси даже не пускает скачать).

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 293

Опубликовано
Опубликовано

Да, получилось. Увы, расшифровки LokiLocker - нет.

Сообщите, нужна ли наша помощь в очистке системы от его следов.

Ссылка на сообщение
Поделиться на другие сайты
Torry

Torry 0

Опубликовано
  • Автор
Опубликовано
27 минут назад, Sandor сказал:

Да, получилось. Увы, расшифровки LokiLocker - нет.

Сообщите, нужна ли наша помощь в очистке системы от его следов.

Да. Помощь понадобится. Или возможно отформатировать диск, переустановить систему будет лучше?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 293

Опубликовано
Опубликовано

Это вам решать, можно и без переустановки.

 

Деинсталлируйте устаревшие и прекратившие поддержку:

Цитата

 

Adobe Flash Player 32 ActiveX

Adobe Flash Player 32 NPAPI

Adobe Flash Player ActiveX+Plugins

Adobe Shockwave Player v.12.3.4.204 + v.10.4.1.53

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{FF9621C6-2E26-4120-AF3E-7DD96904BEAE}] => (Allow) F:\bin\tools\aria2c.exe => Нет файла
FirewallRules: [{795C4E8B-5246-40C6-8650-15FDE3C30834}] => (Allow) LPort=475
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Torry

Torry 0

Опубликовано
  • Автор
Опубликовано
31 минуту назад, Sandor сказал:

Это вам решать, можно и без переустановки.

 

Деинсталлируйте устаревшие и прекратившие поддержку:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{FF9621C6-2E26-4120-AF3E-7DD96904BEAE}] => (Allow) F:\bin\tools\aria2c.exe => Нет файла
FirewallRules: [{795C4E8B-5246-40C6-8650-15FDE3C30834}] => (Allow) LPort=475
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Спасибо. Буду пробовать 

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • sduganov
      зашифровали сервер 1С
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • serioussd
      Шифровальщик blackbit, windows server 2012r2
      От serioussd
      Сервер поймал шифровальщик blackbit, прошу помощи в чистке сервера и возможной дешифровке файлов, пропали все программы, на сервере расположены базы 1с, postgresql  два файла.zipFixlog.txt   

    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
×
×
  • Создать...