Перейти к содержанию

Поймали шифровальшик [DecodeMDR@Outlook.com] BlackBit


Рекомендуемые сообщения

Сегодня утром поймали шифровальщик BlackBit, скорей всего заражение было через RDP. Есть оплаченный корпоративный касперский, он стоял на всех компах которые были зашифрованы. 

Архив.zip FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

14 минут назад, a_d_69 сказал:

Есть оплаченный корпоративный касперский

Значит вы можете обратиться напрямую в тех-поддержку.

Здесь форум клуба и Консультанты не являются сотрудниками компании, а только энтузиастами.

 

К сожалению, расшифровки этого типа вымогателя нет.

 

В системе он пока активен, будем чистить.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
    HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
    HKU\S-1-5-21-1592899474-402066891-2181691873-1104\...\Policies\system: [DisableTaskMgr] 1
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-10-28] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
    Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2023-02-22] () [Файл не подписан]
    Task: {A9B7E3FC-0A8B-4E5E-B68D-424D5DD1717F} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe (Нет файла) <==== ВНИМАНИЕ
    2023-02-22 13:43 - 2023-02-22 13:43 - 000110592 ___SH C:\ProgramData\pq1vf24l.exe
    2023-02-22 13:42 - 2023-02-22 13:42 - 000110592 ___SH C:\ProgramData\wobgmzme.exe
    2023-02-22 13:42 - 2023-02-22 13:42 - 000110592 ___SH C:\ProgramData\bptoet55.exe
    2023-02-22 13:42 - 2023-02-22 13:42 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
    2023-02-22 13:42 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
    2023-02-21 20:07 - 2023-02-22 13:44 - 000003236 _____ C:\Windows\system32\Tasks\BlackBit
    2023-02-21 20:07 - 2023-02-21 20:07 - 000110592 ___SH C:\ProgramData\tw1jyhtv.exe
    2023-02-21 20:07 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\Windows\winlogon.exe
    2023-02-21 20:07 - 2022-10-28 19:00 - 000512000 ___SH (Microsoft) C:\ProgramData\winlogon.exe
    AlternateDataStreams: C:\Users\admin:Index [148]
    FirewallRules: [{C90F659E-E291-48DA-A07B-D74FF6B205EB}] => (Allow) LPort=475
    FirewallRules: [{F33FC4F1-77A8-4803-803C-054B5424D061}] => (Allow) LPort=475
    FirewallRules: [{BEB90269-A309-45F5-AED0-0164408046E0}] => (Allow) LPort=8060
    FirewallRules: [{FEA7351C-3DAC-4362-B745-05D240C8BE9D}] => (Allow) LPort=8061
    FirewallRules: [{D74AD375-3F70-43B9-8E23-8620B8227598}] => (Allow) LPort=8090
    FirewallRules: [{1E3BA804-FF6F-41CB-BE06-99FF59DE7488}] => (Allow) LPort=8060
    FirewallRules: [{A3CC135B-767E-4CC4-A283-CD844F1B6B82}] => (Allow) LPort=8061
    FirewallRules: [{22B5BC62-7EB4-4B50-BFD0-1345F8FEEFEC}] => (Allow) LPort=8090
    FirewallRules: [{49BE07F4-16D2-4FEC-80CD-960B77D3E3C9}] => (Allow) LPort=8060
    FirewallRules: [{7D804503-57D8-480E-9D16-AC3AE614A457}] => (Allow) LPort=8061
    FirewallRules: [{B232306C-878C-45E9-BA80-F5BF687901A0}] => (Allow) LPort=8090
    FirewallRules: [{008CFEB0-3807-4CD6-8E2A-255D4ACEE2EE}] => (Allow) LPort=1688
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Можете еще помочь, точно такая же проблема только на другом сервере, мы хотим его оставить и только почистить от заражения, можете прислать скрипт для чистки заражения? 

BlackBit.zip Addition (1).txt FRST (1).txt

 

Не много по аналогии с прошлым скриптом, собрал по этим логам новый и после запуск повторно собрал еще раз. Сейчас нету активности ?

Addition (2).txt FRST (2).txt

Ссылка на сообщение
Поделиться на другие сайты
22.02.2023 в 13:51, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Про это забыли.

 

Для другого компьютера создайте другую тему во избежание путаницы.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • heimdall
      От heimdall
      Добрый день. Компьютер сотрудника утром обрадовал сообщением, что файлы зашифрованы blackbit. К компу был доступ по rdp, следом еще 2 пк в сети зашифрованы. 
      files.rar Addition.rar
    • marmon
      От marmon
      Добрый день зашифрованы файлы на сервере и в сети на сетевом диске
      Desktop.7z Addition.txt FRST.txt
    • wowabas_1959
      От wowabas_1959
      Неожиданно сегодня прилетел BlackBit и зашифровал системный диск и диск с архивом. Требует денег.
      Систему-то я могу переустановить с нуля, а вот архивы (фото, документы) жалко.
      Необходимые файлы как смог приготовил. Хотя через несколько секунд они тоже шифруются.
       А вот добавить образ автозапуска системы в uVS не могу.
      архив программы скачивал несколько раз и из разных мест.
      При попытке риаспаковать данный архив с программой в отдельный каталог пишет поврежденный архив.
      Addition.txt eb2d57b2-83b2-45ac-80aa-e28b8e2a3089.zip FRST.txt
    • gatebbs
      От gatebbs
      Добрый день!
       
      Словил сегодня Shuriken
      Также сохранил файлы 

      то что просят 
      >>>> Your data are encrypted ...
              All your files have been encrypted by Shuriken !!!
              
              To decrypt them send e-mail to this address : decryption@msgsafe.io
              
              If you do not receive a response within 24 hours, send an email to this address: decryptor@waifu.club
              
              Need a quick decryption ? Send a telegram message @ShurikenAdmin
              
              
      >>>> Your DECRYPTION ID :  382856DD
              Enter the ID of your files in the subject!
              
      >>>>  What is our decryption guarantee?
              Before paying you can send us up to 2 test files for free decryption !
              
              The total size of files must be less than 2Mb.(non archived) !
              
              Files should not contain valuable information.(databases,backups) !
              
              Compress the file with zip or 7zip or rar compression programs and send it to us!382856DD
      Addition.txt FRST.txt Shuriken.rar
×
×
  • Создать...