lokilocker Поймали шифровальшик [DecodeMDR@Outlook.com] BlackBit

[a_d_69]

Сегодня утром поймали шифровальщик BlackBit, скорей всего заражение было через RDP. Есть оплаченный корпоративный касперский, он стоял на всех компах которые были зашифрованы. 

Архив.zip FRST.txt Addition.txt

[Sandor]

Здравствуйте!

 

14 минут назад, a_d_69 сказал:

Есть оплаченный корпоративный касперский

Значит вы можете обратиться напрямую в тех-поддержку.

Здесь форум клуба и Консультанты не являются сотрудниками компании, а только энтузиастами.

 

К сожалению, расшифровки этого типа вымогателя нет.

 

В системе он пока активен, будем чистить.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
  HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
  HKU\S-1-5-21-1592899474-402066891-2181691873-1104\...\Policies\system: [DisableTaskMgr] 1
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-10-28] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
  Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2023-02-22] () [Файл не подписан]
  Task: {A9B7E3FC-0A8B-4E5E-B68D-424D5DD1717F} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe (Нет файла) <==== ВНИМАНИЕ
  2023-02-22 13:43 - 2023-02-22 13:43 - 000110592 ___SH C:\ProgramData\pq1vf24l.exe
  2023-02-22 13:42 - 2023-02-22 13:42 - 000110592 ___SH C:\ProgramData\wobgmzme.exe
  2023-02-22 13:42 - 2023-02-22 13:42 - 000110592 ___SH C:\ProgramData\bptoet55.exe
  2023-02-22 13:42 - 2023-02-22 13:42 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
  2023-02-22 13:42 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
  2023-02-21 20:07 - 2023-02-22 13:44 - 000003236 _____ C:\Windows\system32\Tasks\BlackBit
  2023-02-21 20:07 - 2023-02-21 20:07 - 000110592 ___SH C:\ProgramData\tw1jyhtv.exe
  2023-02-21 20:07 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\Windows\winlogon.exe
  2023-02-21 20:07 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\ProgramData\winlogon.exe
  AlternateDataStreams: C:\Users\admin:Index [148]
  FirewallRules: [{C90F659E-E291-48DA-A07B-D74FF6B205EB}] => (Allow) LPort=475
  FirewallRules: [{F33FC4F1-77A8-4803-803C-054B5424D061}] => (Allow) LPort=475
  FirewallRules: [{BEB90269-A309-45F5-AED0-0164408046E0}] => (Allow) LPort=8060
  FirewallRules: [{FEA7351C-3DAC-4362-B745-05D240C8BE9D}] => (Allow) LPort=8061
  FirewallRules: [{D74AD375-3F70-43B9-8E23-8620B8227598}] => (Allow) LPort=8090
  FirewallRules: [{1E3BA804-FF6F-41CB-BE06-99FF59DE7488}] => (Allow) LPort=8060
  FirewallRules: [{A3CC135B-767E-4CC4-A283-CD844F1B6B82}] => (Allow) LPort=8061
  FirewallRules: [{22B5BC62-7EB4-4B50-BFD0-1345F8FEEFEC}] => (Allow) LPort=8090
  FirewallRules: [{49BE07F4-16D2-4FEC-80CD-960B77D3E3C9}] => (Allow) LPort=8060
  FirewallRules: [{7D804503-57D8-480E-9D16-AC3AE614A457}] => (Allow) LPort=8061
  FirewallRules: [{B232306C-878C-45E9-BA80-F5BF687901A0}] => (Allow) LPort=8090
  FirewallRules: [{008CFEB0-3807-4CD6-8E2A-255D4ACEE2EE}] => (Allow) LPort=1688
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

[a_d_69]

Можете еще помочь, точно такая же проблема только на другом сервере, мы хотим его оставить и только почистить от заражения, можете прислать скрипт для чистки заражения? 

BlackBit.zip Addition (1).txt FRST (1).txt

 

Не много по аналогии с прошлым скриптом, собрал по этим логам новый и после запуск повторно собрал еще раз. Сейчас нету активности ?

Addition (2).txt FRST (2).txt

[Sandor]

22.02.2023 в 13:51, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Про это забыли.

 

Для другого компьютера создайте другую тему во избежание путаницы.