Перейти к содержанию

Поймали шифровальшик [DecodeMDR@Outlook.com] BlackBit

a_d_69
 Поделиться

Рекомендуемые сообщения

a_d_69

a_d_69

Опубликовано
Опубликовано

Сегодня утром поймали шифровальщик BlackBit, скорей всего заражение было через RDP. Есть оплаченный корпоративный касперский, он стоял на всех компах которые были зашифрованы. 

Архив.zip FRST.txt Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

14 минут назад, a_d_69 сказал:

Есть оплаченный корпоративный касперский

Значит вы можете обратиться напрямую в тех-поддержку.

Здесь форум клуба и Консультанты не являются сотрудниками компании, а только энтузиастами.

 

К сожалению, расшифровки этого типа вымогателя нет.

 

В системе он пока активен, будем чистить.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-1592899474-402066891-2181691873-1104\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-10-28] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2023-02-22] () [Файл не подписан]
Task: {A9B7E3FC-0A8B-4E5E-B68D-424D5DD1717F} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe (Нет файла) <==== ВНИМАНИЕ
2023-02-22 13:43 - 2023-02-22 13:43 - 000110592 ___SH C:\ProgramData\pq1vf24l.exe
2023-02-22 13:42 - 2023-02-22 13:42 - 000110592 ___SH C:\ProgramData\wobgmzme.exe
2023-02-22 13:42 - 2023-02-22 13:42 - 000110592 ___SH C:\ProgramData\bptoet55.exe
2023-02-22 13:42 - 2023-02-22 13:42 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2023-02-22 13:42 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2023-02-21 20:07 - 2023-02-22 13:44 - 000003236 _____ C:\Windows\system32\Tasks\BlackBit
2023-02-21 20:07 - 2023-02-21 20:07 - 000110592 ___SH C:\ProgramData\tw1jyhtv.exe
2023-02-21 20:07 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\Windows\winlogon.exe
2023-02-21 20:07 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\ProgramData\winlogon.exe
AlternateDataStreams: C:\Users\admin:Index [148]
FirewallRules: [{C90F659E-E291-48DA-A07B-D74FF6B205EB}] => (Allow) LPort=475
FirewallRules: [{F33FC4F1-77A8-4803-803C-054B5424D061}] => (Allow) LPort=475
FirewallRules: [{BEB90269-A309-45F5-AED0-0164408046E0}] => (Allow) LPort=8060
FirewallRules: [{FEA7351C-3DAC-4362-B745-05D240C8BE9D}] => (Allow) LPort=8061
FirewallRules: [{D74AD375-3F70-43B9-8E23-8620B8227598}] => (Allow) LPort=8090
FirewallRules: [{1E3BA804-FF6F-41CB-BE06-99FF59DE7488}] => (Allow) LPort=8060
FirewallRules: [{A3CC135B-767E-4CC4-A283-CD844F1B6B82}] => (Allow) LPort=8061
FirewallRules: [{22B5BC62-7EB4-4B50-BFD0-1345F8FEEFEC}] => (Allow) LPort=8090
FirewallRules: [{49BE07F4-16D2-4FEC-80CD-960B77D3E3C9}] => (Allow) LPort=8060
FirewallRules: [{7D804503-57D8-480E-9D16-AC3AE614A457}] => (Allow) LPort=8061
FirewallRules: [{B232306C-878C-45E9-BA80-F5BF687901A0}] => (Allow) LPort=8090
FirewallRules: [{008CFEB0-3807-4CD6-8E2A-255D4ACEE2EE}] => (Allow) LPort=1688
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

a_d_69

a_d_69

Опубликовано
  • Автор
Опубликовано

Можете еще помочь, точно такая же проблема только на другом сервере, мы хотим его оставить и только почистить от заражения, можете прислать скрипт для чистки заражения? 

BlackBit.zip Addition (1).txt FRST (1).txt

 

Не много по аналогии с прошлым скриптом, собрал по этим логам новый и после запуск повторно собрал еще раз. Сейчас нету активности ?

Addition (2).txt FRST (2).txt

Sandor

Sandor

Опубликовано
Опубликовано
22.02.2023 в 13:51, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Про это забыли.

 

Для другого компьютера создайте другую тему во избежание путаницы.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • SimTor
      ПК зашифрован Loki Locker через rdp.
      Автор SimTor
      Addition.txtRestore-My-Files.txtfile.zipFRST.txt
      Добрый день!
      Уехал в поездку, оставил для работы себе удалёнку по рдп. Взломали, хотя пароль был более-менее надёжный. В УЗ войти невозможно, cmd в средствах восстановления не открыть, пришлось через Strelec загружаться, через редактор реестра прописывать в загрузку cmd и запускать FRST. Также, в реестре нашёл ключи full и public, если это поможет - пришлю.
      Не нашёл, что это запрещено правилами форума, так что готов платить специалистам, но не мошенникам.
      Насколько понял, таймер висит до 31.10, если помощь займёт дольше - хотелось бы его продлить сначала.

      Если восстановить без участия мошенников нереально - так и напишите, я посёрфил, встречал разные мнения.
    • B1ack_Viking
      Есть кто сталкивался с шифровальщиком BlackBit? Кто-то сможет помочь с расшифровкой?
      Автор B1ack_Viking
      Никакой вводной информации как это случилось и почему - нет, к сожалению..
      [Decrypt.rz@zohomail.com][C85BF26C]1С_Архив(1).xml.7z
    • k.mishnev87
      Словил шифровальщик Loki Locker
      Автор k.mishnev87
      Все доброго времени суток. Для начала туп как пробка, и совсем не разбираюсь в вопросе.
      Не смотря на то что у меня стоить Касперский Премиум, я каким то чудом словил шифровальщик Loki Locker.
      В ПК у меня стояло 5 дисков + сетевой диск к которому с ПК был безконтрольный доступ. Эта зараза зашифровала абсолютно все. Мен спасло только то что был свежий бэкап важно по работе информации.
      Но как итог, отключил 4 диска, системный снес и поставил чистую винду, подключил несистемный ССД, снес полностью заново проинициализировал, создал том. 
      Восстановил.
      Осталось еще 3 HDD, два по 4ТБ и один на 2 ТБ. Вот их надо спасти и дешифровать, там слишком много полезной информации.
      Прикрепляю три зашифрованных файла и текст требование. На сайте касперского и крипто шериф искал - нету.
       
      Помогите пожалуйста.
      Loki.rar
    • Юрий_Колбин
      HEUR:Trojan-Ransom.win32.generic
      Автор Юрий_Колбин
      Desktop.zip
       
      Организация поймала шифровальщик.
      Каспер был благополучно остановлен и запущен kavremover.
      Расскажите о перспективах расшифровки.
      Пароль 12345
      Есть так-же образцы этой заразы, если поможет, могу выложить.
    • Avrora21
      Шифровальщик Loki locker Miracle11@keemail.me Miiracle11@yandex.com
      Автор Avrora21
      Здравствуйте! ПК поражен шифровальщиком Loki locker (Miracle11@keemail.me Miiracle11@yandex.com).
      Есть ли возможность расшифровать пораженные файлы?
      Прилагаю архив с зашифрованными файлами и запиской о выкупе.
      E.7z
×
×
  • Создать...