Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. Файли зашифрованы BlackBit, почта для общения с мошенниками roxiyo@onionmail.com. Кто что может подсказать?

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Скорее всего расшифровки нет. Чтоб сказать точно, нам нужны логи по правилам:

Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты

15.10 BlackBit зашифровал данные на компьютере. Затронуто было вирусом документы на диске D. Документы на системном диске, рабочем столе не тронуто. Также почистили почту. Скорей всего доступ был к одному компютеру. На двох других зашифровано только в общедоступных папках Shara. 

Пароль на архив virus


 

Addition.txt FRST.txt info.rar

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.

 

Shara.rar

Изменено пользователем Torry
Ссылка на сообщение
Поделиться на другие сайты

Образцы зашифрованных файлов и записку перепакуйте, пожалуйста, в архив с паролем (меня прокси даже не пускает скачать).

Ссылка на сообщение
Поделиться на другие сайты

Да, получилось. Увы, расшифровки LokiLocker - нет.

Сообщите, нужна ли наша помощь в очистке системы от его следов.

Ссылка на сообщение
Поделиться на другие сайты
27 минут назад, Sandor сказал:

Да, получилось. Увы, расшифровки LokiLocker - нет.

Сообщите, нужна ли наша помощь в очистке системы от его следов.

Да. Помощь понадобится. Или возможно отформатировать диск, переустановить систему будет лучше?

Ссылка на сообщение
Поделиться на другие сайты

Это вам решать, можно и без переустановки.

 

Деинсталлируйте устаревшие и прекратившие поддержку:

Цитата

 

Adobe Flash Player 32 ActiveX

Adobe Flash Player 32 NPAPI

Adobe Flash Player ActiveX+Plugins

Adobe Shockwave Player v.12.3.4.204 + v.10.4.1.53

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    FirewallRules: [{FF9621C6-2E26-4120-AF3E-7DD96904BEAE}] => (Allow) F:\bin\tools\aria2c.exe => Нет файла
    FirewallRules: [{795C4E8B-5246-40C6-8650-15FDE3C30834}] => (Allow) LPort=475
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
31 минуту назад, Sandor сказал:

Это вам решать, можно и без переустановки.

 

Деинсталлируйте устаревшие и прекратившие поддержку:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    FirewallRules: [{FF9621C6-2E26-4120-AF3E-7DD96904BEAE}] => (Allow) F:\bin\tools\aria2c.exe => Нет файла
    FirewallRules: [{795C4E8B-5246-40C6-8650-15FDE3C30834}] => (Allow) LPort=475
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Спасибо. Буду пробовать 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Ромик Комлев
      От Ромик Комлев
      Поражён компьютер вирусом шифровальщиком. Выкладываю в облако. 
      Сообщение от модератора mike 1 Ссылка скрыта.  Сам вирус (в двойном архиве) пароль 1111.
      id пк из файла Readme от вируса
      и три разных файла
       
      Файлы вытаскивал не из системы, так как она не запускается совсем, а  через другой ПК, поэтому AutoLogger не запустил на той пораженной системе
       
      Сообщение от модератора mike 1 Тема перемещена из раздела https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/  
    • heimdall
      От heimdall
      Добрый день. Компьютер сотрудника утром обрадовал сообщением, что файлы зашифрованы blackbit. К компу был доступ по rdp, следом еще 2 пк в сети зашифрованы. 
      files.rar Addition.rar
    • marmon
      От marmon
      Добрый день зашифрованы файлы на сервере и в сети на сетевом диске
      Desktop.7z Addition.txt FRST.txt
    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
×
×
  • Создать...