Перейти к содержанию

Рекомендуемые сообщения

Добрый день! 

У друга на ПК зашифровались все файлы, шифровальщик blackbit. 

Дают ему около 10 дней на оплату, после чего якобы все данные будут удалены. 

Есть шанс удалить вирус, остановить обратный отсчет и в будущем расшифровать файлы? 

Спасибо.

01.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, к сожалению. Как и нет никакого обратного отсчета, это психологическое давление.

Но систему нужно почистить.

 

  • Отключите до перезагрузки антивирус, но не отключайте сеть.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
    HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Run: [SummerFog] => "C:\Windows\rss\csrss.exe" (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Run: [KLPkInst_abe43f8d-2d10-4369-853d-067cb0d3fa0f] => "D:\Kasper\Агент\setup(2).exe" -KLPI$ID abe43f8d-2d10-4369-853d-067cb0d3fa0f -tl 4 (Нет файла)
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Policies\system: [DisableTaskMgr] 1
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\MountPoints2: {094cc9b0-df42-11e7-a624-000244780de4} - E:\SETUP.EXE
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\MountPoints2: {cc4751ff-7ead-11e5-9e25-806e6f6e6963} - O:\AUTORUN.EXE
    HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
    IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2023-02-21] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
    Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2023-02-21] (Microsoft) [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ
    Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2023-03-29] () [Файл не подписан]
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Task: {02FD61B6-EF59-4764-B58D-F302A59FDD51} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe (Нет файла) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    Virustotal: C:\ProgramData\nfciweps.exe;C:\ProgramData\gsqkpnqb.exe;C:\ProgramData\n1zndgn2.exe;C:\ProgramData\v5hm4ixh.exe
    2023-03-29 17:15 - 2023-03-29 17:15 - 000110592 ___SH C:\ProgramData\nfciweps.exe
    2023-03-29 15:32 - 2023-03-29 15:32 - 000110592 ___SH C:\ProgramData\gsqkpnqb.exe
    2023-03-29 13:11 - 2023-03-29 13:11 - 000005929 _____ C:\Windows\SysWOW64\info.hta
    2023-03-29 13:09 - 2023-03-29 13:09 - 000000343 _____ C:\Users\Igor\AppData\Roaming\Restore-My-Files.txt
    2023-03-29 12:39 - 2023-03-29 12:39 - 000000343 _____ C:\Users\Restore-My-Files.txt
    2023-03-29 12:39 - 2023-03-29 12:39 - 000000343 _____ C:\Users\Igor\AppData\Local\Restore-My-Files.txt
    2023-03-29 12:38 - 2023-03-29 12:38 - 000110592 ___SH C:\ProgramData\n1zndgn2.exe
    2023-03-29 12:37 - 2023-03-29 12:37 - 000110592 ___SH C:\ProgramData\v5hm4ixh.exe
    2023-03-29 12:37 - 2023-03-29 12:37 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
    2023-03-29 12:37 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
    2023-03-29 02:28 - 2023-03-29 13:11 - 000005929 _____ C:\info.hta
    2023-03-29 01:49 - 2023-03-29 01:49 - 000000284 _____ C:\ProgramData\Restore-My-Files.txt
    2023-03-29 01:44 - 2023-03-29 01:44 - 000000284 _____ C:\Program Files (x86)\Restore-My-Files.txt
    2023-03-29 01:34 - 2023-03-29 01:34 - 000000284 _____ C:\Program Files\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Downloads\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Documents\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Desktop\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Igor\Restore-My-Files.txt
    2023-03-29 01:22 - 2023-03-29 01:22 - 000000284 _____ C:\Users\Igor\Downloads\Restore-My-Files.txt
    2023-03-29 01:17 - 2023-03-29 01:17 - 000000284 _____ C:\Users\Igor\Documents\Restore-My-Files.txt
    2023-03-29 01:06 - 2023-03-29 01:06 - 000000284 _____ C:\Users\Igor\Desktop\Restore-My-Files.txt
    2023-03-29 01:06 - 2023-03-29 01:06 - 000000284 _____ C:\Restore-My-Files.txt
    2023-03-29 01:05 - 2023-03-29 01:05 - 000110592 ___SH C:\ProgramData\kzzx4nab.exe
    2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Windows\winlogon.exe
    2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Users\Igor\AppData\Roaming\winlogon.exe
    2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\ProgramData\winlogon.exe
    AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
    FirewallRules: [{82CDE87C-BA8F-4001-B063-CEB2A9A9047B}] => (Allow) LPort=54925
    FirewallRules: [{57357EC0-FE51-4457-B992-3F7021908F6F}] => (Allow) LPort=9422
    FirewallRules: [{CD1618E0-3082-4069-868D-86C18F9B721B}] => (Allow) LPort=9245
    FirewallRules: [{2FCD5F8F-FFE8-4B28-969A-E8EBDEBB022A}] => (Allow) LPort=9246
    FirewallRules: [{F95E161F-4367-447F-A8E7-0F0949289EF3}] => (Allow) LPort=9247
    FirewallRules: [{D9D191AB-488B-48CF-9181-556C89A40887}] => (Allow) C:\Windows\rss\csrss.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Zip: c:\FRST\Quarantine\
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.


Через Панель управления - Удаление программ - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 27 ActiveX

Adobe Flash Player 27 NPAPI

Adobe Flash Player 27 PPAPI

Wise Registry Cleaner 9.6.5 

 

 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Зачем же вы два раза выполнили скрипт?

Карантин точно отправили? Какого размера получился архив?

Ссылка на сообщение
Поделиться на другие сайты

Добрый день, 

 

В первый раз забыл положить файл fixlist.txt туда, где находился FRST64, во второй сделал все как написано в инструкции. 

Оба раза архивы получились размером 2,66 МБ. Сегодня отправил оба архива в запароленом архиве, в первый раз пришел отбойник, что письмо не доставлено по причине того, что в нем вирус (не запаролил архив).

Ссылка на сообщение
Поделиться на другие сайты
  • 2 months later...

@Masterholbutla, здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Создайте свою тему.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Roman9876
      От Roman9876
      Скачал пиратский PowerPoint (не проверив сайт, торопился).
      После этого некоторые приложения перестали отрываться, говоря, что у меня нет прав Администратора. 

      Лечил с перезагрузкой уже несколько раз, не уходит.
       
       
      CollectionLog-2024.04.11-12.35.zip
    • kahoma
      От kahoma
      Здравствуйте у меня такая же проблема но файл с dropbox был удален можете продублировать?
       
      Сообщение от модератора kmscom Сообщение перенесено из темы вирус "updater.exe" восстанавливается при удалении  
    • mmaazzik
      От mmaazzik
      здравствуйте. не знаю как приложить логи DRWeb и KVRT. приложу скрин проверки. все проверки делаю с включенной программой AnVir. так же несколько скринов из нее, + логи Автологера 



      CollectionLog-2024.04.09-12.40.zip
    • Pil_Pul
      От Pil_Pul
      Майнер закрывается при открытии диспетчера задач. Если гуглить эту проблему, закрывает браузер. Логи прикрепил. Как от него избавиться?
      CollectionLog-2024.04.07-17.15.zip
    • Curoless
      От Curoless
      Обнаружил вирус по пути C:\ProgramData\Google\Chrome\updater.exe, при удалении самовосстанавливается, также постоянно в диспетчере задач висит процесс PowerShell, сильно нагружающий систему (постоянно пропадает и появляется, скачет в диспетчере задач, завершить невозможно), помогите, пожалуйста. Программу FRST скачал, прикрепляю архив с текстовыми файлами - FRST и Addition, созданными после сканирования
      FRSTandAddition.rar
×
×
  • Создать...