Перейти к содержанию

Рекомендуемые сообщения

Добрый день! 

У друга на ПК зашифровались все файлы, шифровальщик blackbit. 

Дают ему около 10 дней на оплату, после чего якобы все данные будут удалены. 

Есть шанс удалить вирус, остановить обратный отсчет и в будущем расшифровать файлы? 

Спасибо.

01.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, к сожалению. Как и нет никакого обратного отсчета, это психологическое давление.

Но систему нужно почистить.

 

  • Отключите до перезагрузки антивирус, но не отключайте сеть.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
    HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Run: [SummerFog] => "C:\Windows\rss\csrss.exe" (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Run: [KLPkInst_abe43f8d-2d10-4369-853d-067cb0d3fa0f] => "D:\Kasper\Агент\setup(2).exe" -KLPI$ID abe43f8d-2d10-4369-853d-067cb0d3fa0f -tl 4 (Нет файла)
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Policies\system: [DisableTaskMgr] 1
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\MountPoints2: {094cc9b0-df42-11e7-a624-000244780de4} - E:\SETUP.EXE
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\MountPoints2: {cc4751ff-7ead-11e5-9e25-806e6f6e6963} - O:\AUTORUN.EXE
    HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
    IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2023-02-21] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
    Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2023-02-21] (Microsoft) [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ
    Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2023-03-29] () [Файл не подписан]
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Task: {02FD61B6-EF59-4764-B58D-F302A59FDD51} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe (Нет файла) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    Virustotal: C:\ProgramData\nfciweps.exe;C:\ProgramData\gsqkpnqb.exe;C:\ProgramData\n1zndgn2.exe;C:\ProgramData\v5hm4ixh.exe
    2023-03-29 17:15 - 2023-03-29 17:15 - 000110592 ___SH C:\ProgramData\nfciweps.exe
    2023-03-29 15:32 - 2023-03-29 15:32 - 000110592 ___SH C:\ProgramData\gsqkpnqb.exe
    2023-03-29 13:11 - 2023-03-29 13:11 - 000005929 _____ C:\Windows\SysWOW64\info.hta
    2023-03-29 13:09 - 2023-03-29 13:09 - 000000343 _____ C:\Users\Igor\AppData\Roaming\Restore-My-Files.txt
    2023-03-29 12:39 - 2023-03-29 12:39 - 000000343 _____ C:\Users\Restore-My-Files.txt
    2023-03-29 12:39 - 2023-03-29 12:39 - 000000343 _____ C:\Users\Igor\AppData\Local\Restore-My-Files.txt
    2023-03-29 12:38 - 2023-03-29 12:38 - 000110592 ___SH C:\ProgramData\n1zndgn2.exe
    2023-03-29 12:37 - 2023-03-29 12:37 - 000110592 ___SH C:\ProgramData\v5hm4ixh.exe
    2023-03-29 12:37 - 2023-03-29 12:37 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
    2023-03-29 12:37 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
    2023-03-29 02:28 - 2023-03-29 13:11 - 000005929 _____ C:\info.hta
    2023-03-29 01:49 - 2023-03-29 01:49 - 000000284 _____ C:\ProgramData\Restore-My-Files.txt
    2023-03-29 01:44 - 2023-03-29 01:44 - 000000284 _____ C:\Program Files (x86)\Restore-My-Files.txt
    2023-03-29 01:34 - 2023-03-29 01:34 - 000000284 _____ C:\Program Files\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Downloads\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Documents\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Desktop\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Igor\Restore-My-Files.txt
    2023-03-29 01:22 - 2023-03-29 01:22 - 000000284 _____ C:\Users\Igor\Downloads\Restore-My-Files.txt
    2023-03-29 01:17 - 2023-03-29 01:17 - 000000284 _____ C:\Users\Igor\Documents\Restore-My-Files.txt
    2023-03-29 01:06 - 2023-03-29 01:06 - 000000284 _____ C:\Users\Igor\Desktop\Restore-My-Files.txt
    2023-03-29 01:06 - 2023-03-29 01:06 - 000000284 _____ C:\Restore-My-Files.txt
    2023-03-29 01:05 - 2023-03-29 01:05 - 000110592 ___SH C:\ProgramData\kzzx4nab.exe
    2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Windows\winlogon.exe
    2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Users\Igor\AppData\Roaming\winlogon.exe
    2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\ProgramData\winlogon.exe
    AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
    FirewallRules: [{82CDE87C-BA8F-4001-B063-CEB2A9A9047B}] => (Allow) LPort=54925
    FirewallRules: [{57357EC0-FE51-4457-B992-3F7021908F6F}] => (Allow) LPort=9422
    FirewallRules: [{CD1618E0-3082-4069-868D-86C18F9B721B}] => (Allow) LPort=9245
    FirewallRules: [{2FCD5F8F-FFE8-4B28-969A-E8EBDEBB022A}] => (Allow) LPort=9246
    FirewallRules: [{F95E161F-4367-447F-A8E7-0F0949289EF3}] => (Allow) LPort=9247
    FirewallRules: [{D9D191AB-488B-48CF-9181-556C89A40887}] => (Allow) C:\Windows\rss\csrss.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Zip: c:\FRST\Quarantine\
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.


Через Панель управления - Удаление программ - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 27 ActiveX

Adobe Flash Player 27 NPAPI

Adobe Flash Player 27 PPAPI

Wise Registry Cleaner 9.6.5 

 

 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Зачем же вы два раза выполнили скрипт?

Карантин точно отправили? Какого размера получился архив?

Ссылка на сообщение
Поделиться на другие сайты

Добрый день, 

 

В первый раз забыл положить файл fixlist.txt туда, где находился FRST64, во второй сделал все как написано в инструкции. 

Оба раза архивы получились размером 2,66 МБ. Сегодня отправил оба архива в запароленом архиве, в первый раз пришел отбойник, что письмо не доставлено по причине того, что в нем вирус (не запаролил архив).

Ссылка на сообщение
Поделиться на другие сайты
  • 2 months later...

@Masterholbutla, здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Создайте свою тему.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • depston
      От depston
      Доброго времени суток.
      Поймал что-то, doctor web cureit ругается на C:\Users\depston\AppData\Local\Microsoft\Edge\User Data\Default\Secure Preferences , но не лечиться. adwcleaner_8.4.2 же видит browser hijack, но при последующей перезагрузки все по новой.
      Прикрепил логи с adwcleaner и от First64 Addition.txtFRST.txt
      AdwCleaner[S00].txt AdwCleaner[C00].txt AdwCleaner_Debug.log
    • Samoxval
      От Samoxval
      Прошу помочь если возможно расшифровать

    • Михаил Грин
      От Михаил Грин
      Опасен ли этот софт? Виндовс 11 автоматически удаляет файл через путь C:\Users\illac\AppData\Local\Temp\Proxy.exe

    • Bredmon
      От Bredmon
      Поймал шифровальщик, все файлы стали с расширением blackbit, системные приложения не запускаются
      Addition.txt files.zip FRST.txt SQL_2024-03-15_04-28-34_v4.15.1.7z
    • grafbender
      От grafbender
      Доброго времени суток. Мой пк тормозит уже продолжительное время. Какого-либо внимания я этому не уделял, так как пользуюсь им редко. Однако, пару дней назад я совершая пробную операцию по покупке крипты, скопировал номер своего кошелька и направил на него деньги. Как оказалось каким то неведомым образом номер кошелька менялся прямо при копировании. Тут я и начал что то подозревать. Просканировав пк утилитой от Dr.Web, мне выдало целый список вирусов среди которых были трояны и btcmine. Только после удаления всех этих файлов, я решился посмотреть в интернете как с этим бороться, и понял что не все так просто. При повторном сканировании как Dr.Web так и Касперским более никаких вирусов не обнаруживается, однако полной уверенности от избавления у меня нету. Подсобите пожалуйста, какие шаги мне необходимо проделать  еще
      P.S. Нельзя назвать меня осторожным пользователем пользователем интернета, поэтому пиратского контента употребляется и употреблялось очень много, то есть торренты в моей жизни присутствуют.
      AV_block_remove_2024.03.12-20.03.log
×
×
  • Создать...