Перейти к содержанию

Поймали шифровальшик [DecodeMDR@Outlook.com] BlackBit

a_d_69
 Поделиться

Рекомендуемые сообщения

a_d_69

a_d_69

Опубликовано
Опубликовано

Сегодня утром поймали шифровальщик BlackBit, скорей всего заражение было через RDP. Есть оплаченный корпоративный касперский, он стоял на всех компах которые были зашифрованы. 

Архив.zip FRST.txt Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

14 минут назад, a_d_69 сказал:

Есть оплаченный корпоративный касперский

Значит вы можете обратиться напрямую в тех-поддержку.

Здесь форум клуба и Консультанты не являются сотрудниками компании, а только энтузиастами.

 

К сожалению, расшифровки этого типа вымогателя нет.

 

В системе он пока активен, будем чистить.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-1592899474-402066891-2181691873-1104\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-10-28] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2023-02-22] () [Файл не подписан]
Task: {A9B7E3FC-0A8B-4E5E-B68D-424D5DD1717F} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe (Нет файла) <==== ВНИМАНИЕ
2023-02-22 13:43 - 2023-02-22 13:43 - 000110592 ___SH C:\ProgramData\pq1vf24l.exe
2023-02-22 13:42 - 2023-02-22 13:42 - 000110592 ___SH C:\ProgramData\wobgmzme.exe
2023-02-22 13:42 - 2023-02-22 13:42 - 000110592 ___SH C:\ProgramData\bptoet55.exe
2023-02-22 13:42 - 2023-02-22 13:42 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2023-02-22 13:42 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2023-02-21 20:07 - 2023-02-22 13:44 - 000003236 _____ C:\Windows\system32\Tasks\BlackBit
2023-02-21 20:07 - 2023-02-21 20:07 - 000110592 ___SH C:\ProgramData\tw1jyhtv.exe
2023-02-21 20:07 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\Windows\winlogon.exe
2023-02-21 20:07 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\ProgramData\winlogon.exe
AlternateDataStreams: C:\Users\admin:Index [148]
FirewallRules: [{C90F659E-E291-48DA-A07B-D74FF6B205EB}] => (Allow) LPort=475
FirewallRules: [{F33FC4F1-77A8-4803-803C-054B5424D061}] => (Allow) LPort=475
FirewallRules: [{BEB90269-A309-45F5-AED0-0164408046E0}] => (Allow) LPort=8060
FirewallRules: [{FEA7351C-3DAC-4362-B745-05D240C8BE9D}] => (Allow) LPort=8061
FirewallRules: [{D74AD375-3F70-43B9-8E23-8620B8227598}] => (Allow) LPort=8090
FirewallRules: [{1E3BA804-FF6F-41CB-BE06-99FF59DE7488}] => (Allow) LPort=8060
FirewallRules: [{A3CC135B-767E-4CC4-A283-CD844F1B6B82}] => (Allow) LPort=8061
FirewallRules: [{22B5BC62-7EB4-4B50-BFD0-1345F8FEEFEC}] => (Allow) LPort=8090
FirewallRules: [{49BE07F4-16D2-4FEC-80CD-960B77D3E3C9}] => (Allow) LPort=8060
FirewallRules: [{7D804503-57D8-480E-9D16-AC3AE614A457}] => (Allow) LPort=8061
FirewallRules: [{B232306C-878C-45E9-BA80-F5BF687901A0}] => (Allow) LPort=8090
FirewallRules: [{008CFEB0-3807-4CD6-8E2A-255D4ACEE2EE}] => (Allow) LPort=1688
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

a_d_69

a_d_69

Опубликовано
  • Автор
Опубликовано

Можете еще помочь, точно такая же проблема только на другом сервере, мы хотим его оставить и только почистить от заражения, можете прислать скрипт для чистки заражения? 

BlackBit.zip Addition (1).txt FRST (1).txt

 

Не много по аналогии с прошлым скриптом, собрал по этим логам новый и после запуск повторно собрал еще раз. Сейчас нету активности ?

Addition (2).txt FRST (2).txt

Sandor

Sandor

Опубликовано
Опубликовано
22.02.2023 в 13:51, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Про это забыли.

 

Для другого компьютера создайте другую тему во избежание путаницы.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • wowabas_1959
      Поймал BlackBit
      Автор wowabas_1959
      Неожиданно сегодня прилетел BlackBit и зашифровал системный диск и диск с архивом. Требует денег.
      Систему-то я могу переустановить с нуля, а вот архивы (фото, документы) жалко.
      Необходимые файлы как смог приготовил. Хотя через несколько секунд они тоже шифруются.
       А вот добавить образ автозапуска системы в uVS не могу.
      архив программы скачивал несколько раз и из разных мест.
      При попытке риаспаковать данный архив с программой в отдельный каталог пишет поврежденный архив.
      Addition.txt eb2d57b2-83b2-45ac-80aa-e28b8e2a3089.zip FRST.txt
    • Samoxval
      Поймали шифровальшика файлы с расширением .nigra
      Автор Samoxval
      Поймали шифровальщик. Расширение .nigra
      Скорее всего по рдп, сам вирус не нашли.
      Установили новый диск и на него накатили чистую виндовс, старые 2 диска осталис подключены как второстепенные, систему на них не трогали.
      Если есть возможность нам спасти файлы (несколько из них приложил) за месяц. Тоесть это файлы кассовой смены 1 файл= 1 кассовая смена. Более нам ничего не требуется с этих дисков. Либо база sql там эти все смены хранятся.
      Зашифрованые файлы.rar
      Первоначальное расширение файлов .udb
       
    • Gupecology
      Вирус BlackBit
      Автор Gupecology
      Взломали сервер и зашифровали файлы. Требуют выкуп. Из за чего непонятно, возможно взломали через rdp.FRST.txtAddition.txtАрхив WinRAR.rar
    • SeregyI
      подцепил BlackBit
      Автор SeregyI
      Добрый день! сервер windows server 2016 с RDP был взломан и зашифрован. Заплатили получили дешифратор расшифровали, после перезапуска опять все зашифровано. вирус где то лежит и активен. программы не запускаюся, система загружается как будто в безопасном режиме, службы не работают, active directory тоже
    • ad_art
      Шифровальщик BlackBit
      Автор ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
×
×
  • Создать...