loki locker Данные зашифрованы вирусом blackbit

[alexanderppp 1]

Добрый день! 

У друга на ПК зашифровались все файлы, шифровальщик blackbit. 

Дают ему около 10 дней на оплату, после чего якобы все данные будут удалены. 

Есть шанс удалить вирус, остановить обратный отсчет и в будущем расшифровать файлы? 

Спасибо.

01.rar

[Sandor 1 167]

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, к сожалению. Как и нет никакого обратного отсчета, это психологическое давление.

Но систему нужно почистить.

 

• Отключите до перезагрузки антивирус, но не отключайте сеть.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
  HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
  HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Run: [SummerFog] => "C:\Windows\rss\csrss.exe" (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Run: [KLPkInst_abe43f8d-2d10-4369-853d-067cb0d3fa0f] => "D:\Kasper\Агент\setup(2).exe" -KLPI$ID abe43f8d-2d10-4369-853d-067cb0d3fa0f -tl 4 (Нет файла)
  HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Policies\system: [DisableTaskMgr] 1
  HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
  HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\MountPoints2: {094cc9b0-df42-11e7-a624-000244780de4} - E:\SETUP.EXE
  HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\MountPoints2: {cc4751ff-7ead-11e5-9e25-806e6f6e6963} - O:\AUTORUN.EXE
  HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
  IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2023-02-21] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
  Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2023-02-21] (Microsoft) [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ
  Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2023-03-29] () [Файл не подписан]
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {02FD61B6-EF59-4764-B58D-F302A59FDD51} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe (Нет файла) <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  Virustotal: C:\ProgramData\nfciweps.exe;C:\ProgramData\gsqkpnqb.exe;C:\ProgramData\n1zndgn2.exe;C:\ProgramData\v5hm4ixh.exe
  2023-03-29 17:15 - 2023-03-29 17:15 - 000110592 ___SH C:\ProgramData\nfciweps.exe
  2023-03-29 15:32 - 2023-03-29 15:32 - 000110592 ___SH C:\ProgramData\gsqkpnqb.exe
  2023-03-29 13:11 - 2023-03-29 13:11 - 000005929 _____ C:\Windows\SysWOW64\info.hta
  2023-03-29 13:09 - 2023-03-29 13:09 - 000000343 _____ C:\Users\Igor\AppData\Roaming\Restore-My-Files.txt
  2023-03-29 12:39 - 2023-03-29 12:39 - 000000343 _____ C:\Users\Restore-My-Files.txt
  2023-03-29 12:39 - 2023-03-29 12:39 - 000000343 _____ C:\Users\Igor\AppData\Local\Restore-My-Files.txt
  2023-03-29 12:38 - 2023-03-29 12:38 - 000110592 ___SH C:\ProgramData\n1zndgn2.exe
  2023-03-29 12:37 - 2023-03-29 12:37 - 000110592 ___SH C:\ProgramData\v5hm4ixh.exe
  2023-03-29 12:37 - 2023-03-29 12:37 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
  2023-03-29 12:37 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
  2023-03-29 02:28 - 2023-03-29 13:11 - 000005929 _____ C:\info.hta
  2023-03-29 01:49 - 2023-03-29 01:49 - 000000284 _____ C:\ProgramData\Restore-My-Files.txt
  2023-03-29 01:44 - 2023-03-29 01:44 - 000000284 _____ C:\Program Files (x86)\Restore-My-Files.txt
  2023-03-29 01:34 - 2023-03-29 01:34 - 000000284 _____ C:\Program Files\Restore-My-Files.txt
  2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Restore-My-Files.txt
  2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Downloads\Restore-My-Files.txt
  2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Documents\Restore-My-Files.txt
  2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Desktop\Restore-My-Files.txt
  2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Igor\Restore-My-Files.txt
  2023-03-29 01:22 - 2023-03-29 01:22 - 000000284 _____ C:\Users\Igor\Downloads\Restore-My-Files.txt
  2023-03-29 01:17 - 2023-03-29 01:17 - 000000284 _____ C:\Users\Igor\Documents\Restore-My-Files.txt
  2023-03-29 01:06 - 2023-03-29 01:06 - 000000284 _____ C:\Users\Igor\Desktop\Restore-My-Files.txt
  2023-03-29 01:06 - 2023-03-29 01:06 - 000000284 _____ C:\Restore-My-Files.txt
  2023-03-29 01:05 - 2023-03-29 01:05 - 000110592 ___SH C:\ProgramData\kzzx4nab.exe
  2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Windows\winlogon.exe
  2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Users\Igor\AppData\Roaming\winlogon.exe
  2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\ProgramData\winlogon.exe
  AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
  FirewallRules: [{82CDE87C-BA8F-4001-B063-CEB2A9A9047B}] => (Allow) LPort=54925
  FirewallRules: [{57357EC0-FE51-4457-B992-3F7021908F6F}] => (Allow) LPort=9422
  FirewallRules: [{CD1618E0-3082-4069-868D-86C18F9B721B}] => (Allow) LPort=9245
  FirewallRules: [{2FCD5F8F-FFE8-4B28-969A-E8EBDEBB022A}] => (Allow) LPort=9246
  FirewallRules: [{F95E161F-4367-447F-A8E7-0F0949289EF3}] => (Allow) LPort=9247
  FirewallRules: [{D9D191AB-488B-48CF-9181-556C89A40887}] => (Allow) C:\Windows\rss\csrss.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Zip: c:\FRST\Quarantine\
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

Через Панель управления - Удаление программ - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 27 ActiveX

Adobe Flash Player 27 NPAPI

Adobe Flash Player 27 PPAPI

Wise Registry Cleaner 9.6.5 

 

 

Изменено 30 марта пользователем Sandor

[alexanderppp 1]

Добрый день, 

 

Письмо отправил. 

Fixlog.txt прикрепил

Fixlog.txt

[Sandor 1 167]

Зачем же вы два раза выполнили скрипт?

Карантин точно отправили? Какого размера получился архив?

[alexanderppp 1]

Добрый день, 

 

В первый раз забыл положить файл fixlist.txt туда, где находился FRST64, во второй сделал все как написано в инструкции. 

Оба раза архивы получились размером 2,66 МБ. Сегодня отправил оба архива в запароленом архиве, в первый раз пришел отбойник, что письмо не доставлено по причине того, что в нем вирус (не запаролил архив).