Перейти к содержанию

Данные зашифрованы вирусом blackbit

alexanderppp
 Поделиться

Рекомендуемые сообщения

alexanderppp

alexanderppp

Опубликовано
Опубликовано

Добрый день! 

У друга на ПК зашифровались все файлы, шифровальщик blackbit. 

Дают ему около 10 дней на оплату, после чего якобы все данные будут удалены. 

Есть шанс удалить вирус, остановить обратный отсчет и в будущем расшифровать файлы? 

Спасибо.

01.rar

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, к сожалению. Как и нет никакого обратного отсчета, это психологическое давление.

Но систему нужно почистить.

 

  • Отключите до перезагрузки антивирус, но не отключайте сеть.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Run: [SummerFog] => "C:\Windows\rss\csrss.exe" (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Run: [KLPkInst_abe43f8d-2d10-4369-853d-067cb0d3fa0f] => "D:\Kasper\Агент\setup(2).exe" -KLPI$ID abe43f8d-2d10-4369-853d-067cb0d3fa0f -tl 4 (Нет файла)
HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\MountPoints2: {094cc9b0-df42-11e7-a624-000244780de4} - E:\SETUP.EXE
HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\MountPoints2: {cc4751ff-7ead-11e5-9e25-806e6f6e6963} - O:\AUTORUN.EXE
HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2023-02-21] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2023-02-21] (Microsoft) [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ
Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2023-03-29] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {02FD61B6-EF59-4764-B58D-F302A59FDD51} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Virustotal: C:\ProgramData\nfciweps.exe;C:\ProgramData\gsqkpnqb.exe;C:\ProgramData\n1zndgn2.exe;C:\ProgramData\v5hm4ixh.exe
2023-03-29 17:15 - 2023-03-29 17:15 - 000110592 ___SH C:\ProgramData\nfciweps.exe
2023-03-29 15:32 - 2023-03-29 15:32 - 000110592 ___SH C:\ProgramData\gsqkpnqb.exe
2023-03-29 13:11 - 2023-03-29 13:11 - 000005929 _____ C:\Windows\SysWOW64\info.hta
2023-03-29 13:09 - 2023-03-29 13:09 - 000000343 _____ C:\Users\Igor\AppData\Roaming\Restore-My-Files.txt
2023-03-29 12:39 - 2023-03-29 12:39 - 000000343 _____ C:\Users\Restore-My-Files.txt
2023-03-29 12:39 - 2023-03-29 12:39 - 000000343 _____ C:\Users\Igor\AppData\Local\Restore-My-Files.txt
2023-03-29 12:38 - 2023-03-29 12:38 - 000110592 ___SH C:\ProgramData\n1zndgn2.exe
2023-03-29 12:37 - 2023-03-29 12:37 - 000110592 ___SH C:\ProgramData\v5hm4ixh.exe
2023-03-29 12:37 - 2023-03-29 12:37 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2023-03-29 12:37 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2023-03-29 02:28 - 2023-03-29 13:11 - 000005929 _____ C:\info.hta
2023-03-29 01:49 - 2023-03-29 01:49 - 000000284 _____ C:\ProgramData\Restore-My-Files.txt
2023-03-29 01:44 - 2023-03-29 01:44 - 000000284 _____ C:\Program Files (x86)\Restore-My-Files.txt
2023-03-29 01:34 - 2023-03-29 01:34 - 000000284 _____ C:\Program Files\Restore-My-Files.txt
2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Restore-My-Files.txt
2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Downloads\Restore-My-Files.txt
2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Documents\Restore-My-Files.txt
2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Desktop\Restore-My-Files.txt
2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Igor\Restore-My-Files.txt
2023-03-29 01:22 - 2023-03-29 01:22 - 000000284 _____ C:\Users\Igor\Downloads\Restore-My-Files.txt
2023-03-29 01:17 - 2023-03-29 01:17 - 000000284 _____ C:\Users\Igor\Documents\Restore-My-Files.txt
2023-03-29 01:06 - 2023-03-29 01:06 - 000000284 _____ C:\Users\Igor\Desktop\Restore-My-Files.txt
2023-03-29 01:06 - 2023-03-29 01:06 - 000000284 _____ C:\Restore-My-Files.txt
2023-03-29 01:05 - 2023-03-29 01:05 - 000110592 ___SH C:\ProgramData\kzzx4nab.exe
2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Windows\winlogon.exe
2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Users\Igor\AppData\Roaming\winlogon.exe
2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\ProgramData\winlogon.exe
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
FirewallRules: [{82CDE87C-BA8F-4001-B063-CEB2A9A9047B}] => (Allow) LPort=54925
FirewallRules: [{57357EC0-FE51-4457-B992-3F7021908F6F}] => (Allow) LPort=9422
FirewallRules: [{CD1618E0-3082-4069-868D-86C18F9B721B}] => (Allow) LPort=9245
FirewallRules: [{2FCD5F8F-FFE8-4B28-969A-E8EBDEBB022A}] => (Allow) LPort=9246
FirewallRules: [{F95E161F-4367-447F-A8E7-0F0949289EF3}] => (Allow) LPort=9247
FirewallRules: [{D9D191AB-488B-48CF-9181-556C89A40887}] => (Allow) C:\Windows\rss\csrss.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Zip: c:\FRST\Quarantine\
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.


Через Панель управления - Удаление программ - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 27 ActiveX

Adobe Flash Player 27 NPAPI

Adobe Flash Player 27 PPAPI

Wise Registry Cleaner 9.6.5 

 

 

Изменено пользователем Sandor
Sandor

Sandor

Опубликовано
Опубликовано

Зачем же вы два раза выполнили скрипт?

Карантин точно отправили? Какого размера получился архив?

alexanderppp

alexanderppp

Опубликовано
  • Автор
Опубликовано

Добрый день, 

 

В первый раз забыл положить файл fixlist.txt туда, где находился FRST64, во второй сделал все как написано в инструкции. 

Оба раза архивы получились размером 2,66 МБ. Сегодня отправил оба архива в запароленом архиве, в первый раз пришел отбойник, что письмо не доставлено по причине того, что в нем вирус (не запаролил архив).

  • 2 месяца спустя...
Masterholbutla

Masterholbutla

Опубликовано
Опубликовано

Здравствуйте , подскажите пожалуйста где взять файл fixlist.txt, я так понимаю у каждого он свой

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр Багет
      есть подозрение на вирус, но пока не знаю какой именно
      Автор Александр Багет
      Началось все с того, что я решил залезть в "Просмотр событий" а конкретно в PowerShell. Там я обнаружил некоторое количество событий с кодом 4104 и решил проверить в интернете что это событие из себя представляет и стоит ли мне беспокоиться о нем. Какое-то количество информации об этом event id я нашел, и в основном там говорилось о подозрительной активности или вредоносном коде/ПО. Подобное событие генерируется стабильно от 2 до 10 раз за месяц.
      Помимо PowerShell я также зашел в журнал "Безопасность" там тоже одно событие которое меня напрягло, это event id 4688. Я снова залез в гугл проверить что это может быть, и в нескольких статьях указывалось на подозрительную активность либо на хакера который делает дамп памяти при помощи LSASS.
      Я до этого ни разу не сталкивался с вирусами и понятия не имею что делать, но несколько дней назад я попробовал зайти на своем ноутбуке в безопасный режим, никакой полезной информации я не получил из этого, но после выхода из режима и проверки журнала "Безопасность" я увидел приличное количество событий 4688. Через некоторое время после выхода из безопасного режима в журнале "Безопасность" появилось 3 события с неудачной попыткой сетевого входа в систему.
      Windows Defender ничего подозрительного не нашел. Проверка Malwarebytes обнаружила 8 нежелательных файлов, но 7 из них были связанны с торернтом и еще один с впном которым я давно не пользовался, все было помещено в карантин. После проверки я через проводник удалил все файлы связанные с торрентом. Далее я еще какое-то время проверял свой пк на вирусы, пробовал это делать с выключенным интернетом и с включенным, но больше Malwarebytes ничего не находил. Хотя сообщения в PowerShell об event id 4104 продолжали появляться.
      Информация из просмотра событий пока является единственным аргументом в пользу наличия вирусов, ибо изменений в работе пк вообще не было. Единственное что меня беспокоит, время от времени мой ноутбук отключается от домашнего интернета, происходит это либо когда пк переходит в спящий режим, либо само по себе. Отключения бывают по несколько раз за день, но может и вообще не быть, какого-то паттерна я не смог увидеть. И еще в диспетчере задач в автозагрузке есть 4 приложения которые никак не открываются и у них нет иконок, но я думаю это какие-то остатки файлов от удаления нерабочих впн, вряд ли это какое-то вредоносное по.
      У меня есть скриншоты из журналов "Безопасность" и "PowerShell" если нужно то могу прислать некоторые из них.
      Подскажите как мне найти вирус или убедиться что его нет?
      И еще, в порядке оформления запроса о помощи первым пунктом сказано, что нужно установить Kaspersky Virus Removal Tool или Dr.Web CureIt и провести проверку, но у меня уже стоит Malwarebytes. Мне нужно еще один антивирус скачивать или надо удалить Malwarebytes и установить нужный? Или ничего не делать пока?
      Буду безумно рад помощи! 
      CollectionLog-2026.01.31-19.07.zip Malwarebytes Отчет о проверке 2026-01-24 050309.txt
    • DexterVron
      Tool.BtcMine.2828 (просто удалить не выходит)
      Автор DexterVron
      Всем привет. Словил Tool.BtcMine.2828, антивирусом удалять не выходит.
    • Salieri
      Словил ратник без доступа к чему - либо, новый администратор
      Автор Salieri
      Приветствую, словил ратник, антивирусы не работают, сайты , ничего, пишу с другого пк дабы подать на помощь. Ниже логи
      CollectionLog-2026.01.30-14.37.zipShortcut.txtFRST.txtAddition.txt
    • Meiras
      Появился вирус Trojan:PowerShell/Boxter.HBZ!MTB
      Автор Meiras
    • PinkyPhosphor
      Два системных файла dwm.exe, под одним замаскированная вредоносная программа
      Автор PinkyPhosphor
      Здравствуйте. 
      Помогите с решением проблемы.
      В диспетчере задач отображается две системные программы dwm.exe, одна из них грузит ЦП на +-27% и по памяти 2,1 Гб (см. скриншот),  а у второй всё адекватно.
      Ранее видел две темы (решенные) на этом форуме с аналогичной проблемой. 
      Прошу помощи с решением данной проблемы
       

×
×
  • Создать...