Перейти к содержанию

Поймали шифровальшик [DecodeMDR@Outlook.com] BlackBit

a_d_69
 Share Подписчики 1

Рекомендуемые сообщения

a_d_69

a_d_69 0

Опубликовано
Опубликовано

Сегодня утром поймали шифровальщик BlackBit, скорей всего заражение было через RDP. Есть оплаченный корпоративный касперский, он стоял на всех компах которые были зашифрованы. 

Архив.zip FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 134

Опубликовано
Опубликовано

Здравствуйте!

 

14 минут назад, a_d_69 сказал:

Есть оплаченный корпоративный касперский

Значит вы можете обратиться напрямую в тех-поддержку.

Здесь форум клуба и Консультанты не являются сотрудниками компании, а только энтузиастами.

 

К сожалению, расшифровки этого типа вымогателя нет.

 

В системе он пока активен, будем чистить.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-1592899474-402066891-2181691873-1104\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-10-28] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2023-02-22] () [Файл не подписан]
Task: {A9B7E3FC-0A8B-4E5E-B68D-424D5DD1717F} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe (Нет файла) <==== ВНИМАНИЕ
2023-02-22 13:43 - 2023-02-22 13:43 - 000110592 ___SH C:\ProgramData\pq1vf24l.exe
2023-02-22 13:42 - 2023-02-22 13:42 - 000110592 ___SH C:\ProgramData\wobgmzme.exe
2023-02-22 13:42 - 2023-02-22 13:42 - 000110592 ___SH C:\ProgramData\bptoet55.exe
2023-02-22 13:42 - 2023-02-22 13:42 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2023-02-22 13:42 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2023-02-21 20:07 - 2023-02-22 13:44 - 000003236 _____ C:\Windows\system32\Tasks\BlackBit
2023-02-21 20:07 - 2023-02-21 20:07 - 000110592 ___SH C:\ProgramData\tw1jyhtv.exe
2023-02-21 20:07 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\Windows\winlogon.exe
2023-02-21 20:07 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\ProgramData\winlogon.exe
AlternateDataStreams: C:\Users\admin:Index [148]
FirewallRules: [{C90F659E-E291-48DA-A07B-D74FF6B205EB}] => (Allow) LPort=475
FirewallRules: [{F33FC4F1-77A8-4803-803C-054B5424D061}] => (Allow) LPort=475
FirewallRules: [{BEB90269-A309-45F5-AED0-0164408046E0}] => (Allow) LPort=8060
FirewallRules: [{FEA7351C-3DAC-4362-B745-05D240C8BE9D}] => (Allow) LPort=8061
FirewallRules: [{D74AD375-3F70-43B9-8E23-8620B8227598}] => (Allow) LPort=8090
FirewallRules: [{1E3BA804-FF6F-41CB-BE06-99FF59DE7488}] => (Allow) LPort=8060
FirewallRules: [{A3CC135B-767E-4CC4-A283-CD844F1B6B82}] => (Allow) LPort=8061
FirewallRules: [{22B5BC62-7EB4-4B50-BFD0-1345F8FEEFEC}] => (Allow) LPort=8090
FirewallRules: [{49BE07F4-16D2-4FEC-80CD-960B77D3E3C9}] => (Allow) LPort=8060
FirewallRules: [{7D804503-57D8-480E-9D16-AC3AE614A457}] => (Allow) LPort=8061
FirewallRules: [{B232306C-878C-45E9-BA80-F5BF687901A0}] => (Allow) LPort=8090
FirewallRules: [{008CFEB0-3807-4CD6-8E2A-255D4ACEE2EE}] => (Allow) LPort=1688
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
a_d_69

a_d_69 0

Опубликовано
  • Автор
Опубликовано

Можете еще помочь, точно такая же проблема только на другом сервере, мы хотим его оставить и только почистить от заражения, можете прислать скрипт для чистки заражения? 

BlackBit.zip Addition (1).txt FRST (1).txt

 

Не много по аналогии с прошлым скриптом, собрал по этим логам новый и после запуск повторно собрал еще раз. Сейчас нету активности ?

Addition (2).txt FRST (2).txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 134

Опубликовано
Опубликовано
22.02.2023 в 13:51, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Про это забыли.

 

Для другого компьютера создайте другую тему во избежание путаницы.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Promot999
      Шифровальщик BlackBit
      От Promot999
      Зашифровались файлы шифровальщиком BlackBit
    • asa42
      ШИФРОВАЛЬЩИК BLACKBIT Ищем дешифровщик, очень нужен. Крик о помощи!
      От asa42
      Приветствую коллеги. Подцепили хворь blackbit (не путать с blackbyte!) лихо зашифровал 3 hdd с инфой. шифрует часть файла а не весь. полностью шифрует лишь файлы небольшого объема. очень надеемся на анализ и на дешифровщика (лекарство). у кого какие мысли? кто сталкивался?
    • Макаров Дмитрий
      Шифровальщик [medoosa@onionmail.org] .BlackBit
      От Макаров Дмитрий
      Здравствуйте. Несколько сетевых хранилищ были поражены шифровальщиком [medoosa@onionmail.org] и файлы приобрели расширение .BlackBit . Файл вируса остался (во время обнаружили). На момент сканирования Farbar Recovery Scan Tool сетевой диск был отключен.
      FRST.txt Addition.txt Зашифрованный пример.rar те же файлы не зашифрованные.rar
    • kpa39l
      Зашифрован сервер через RDP - BlackBit
      От kpa39l
      Доброго дня и с наступающим.
       
      На сервер через RDP пробрался  Вирус-шифровальшик. расширение зашифрованных файлов BlackBit.
      Система запускается, но при авторизации explorer никак не запустить. Только через диспетчер можно добраться до файлов.
       
      Во вложениях результаты скана и пример исходного и зашифрованного файлов в архиве "Пример файлов". Расшифровал через вымогателей один файл.
       
       
       
       
      VIRUS.zip FRST.txt Addition.txt Пример файлов.7z
    • PRINT
      шифровальщик .onion700
      От PRINT
      Добрый день. На выходных в офис по RDP пробрался вирус "bruteforce.generic.rdp.d".
      Зашифровал много информации в расшареных папках и на сетевом хранилище, системные файлы не трогал.
      расширение файлов - .onion700. Прикрепляю к посту архив с примером зашифрованного файла и оригинала. 
      files.7z
×
×
  • Создать...