Перейти к содержанию

Рекомендуемые сообщения

Добрый день! 

У друга на ПК зашифровались все файлы, шифровальщик blackbit. 

Дают ему около 10 дней на оплату, после чего якобы все данные будут удалены. 

Есть шанс удалить вирус, остановить обратный отсчет и в будущем расшифровать файлы? 

Спасибо.

01.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, к сожалению. Как и нет никакого обратного отсчета, это психологическое давление.

Но систему нужно почистить.

 

  • Отключите до перезагрузки антивирус, но не отключайте сеть.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
    HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Run: [SummerFog] => "C:\Windows\rss\csrss.exe" (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Run: [KLPkInst_abe43f8d-2d10-4369-853d-067cb0d3fa0f] => "D:\Kasper\Агент\setup(2).exe" -KLPI$ID abe43f8d-2d10-4369-853d-067cb0d3fa0f -tl 4 (Нет файла)
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Policies\system: [DisableTaskMgr] 1
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\MountPoints2: {094cc9b0-df42-11e7-a624-000244780de4} - E:\SETUP.EXE
    HKU\S-1-5-21-2550823391-387165357-2365553954-1000\...\MountPoints2: {cc4751ff-7ead-11e5-9e25-806e6f6e6963} - O:\AUTORUN.EXE
    HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
    IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2023-02-21] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
    Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2023-02-21] (Microsoft) [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ
    Startup: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2023-03-29] () [Файл не подписан]
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Task: {02FD61B6-EF59-4764-B58D-F302A59FDD51} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe (Нет файла) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    Virustotal: C:\ProgramData\nfciweps.exe;C:\ProgramData\gsqkpnqb.exe;C:\ProgramData\n1zndgn2.exe;C:\ProgramData\v5hm4ixh.exe
    2023-03-29 17:15 - 2023-03-29 17:15 - 000110592 ___SH C:\ProgramData\nfciweps.exe
    2023-03-29 15:32 - 2023-03-29 15:32 - 000110592 ___SH C:\ProgramData\gsqkpnqb.exe
    2023-03-29 13:11 - 2023-03-29 13:11 - 000005929 _____ C:\Windows\SysWOW64\info.hta
    2023-03-29 13:09 - 2023-03-29 13:09 - 000000343 _____ C:\Users\Igor\AppData\Roaming\Restore-My-Files.txt
    2023-03-29 12:39 - 2023-03-29 12:39 - 000000343 _____ C:\Users\Restore-My-Files.txt
    2023-03-29 12:39 - 2023-03-29 12:39 - 000000343 _____ C:\Users\Igor\AppData\Local\Restore-My-Files.txt
    2023-03-29 12:38 - 2023-03-29 12:38 - 000110592 ___SH C:\ProgramData\n1zndgn2.exe
    2023-03-29 12:37 - 2023-03-29 12:37 - 000110592 ___SH C:\ProgramData\v5hm4ixh.exe
    2023-03-29 12:37 - 2023-03-29 12:37 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
    2023-03-29 12:37 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
    2023-03-29 02:28 - 2023-03-29 13:11 - 000005929 _____ C:\info.hta
    2023-03-29 01:49 - 2023-03-29 01:49 - 000000284 _____ C:\ProgramData\Restore-My-Files.txt
    2023-03-29 01:44 - 2023-03-29 01:44 - 000000284 _____ C:\Program Files (x86)\Restore-My-Files.txt
    2023-03-29 01:34 - 2023-03-29 01:34 - 000000284 _____ C:\Program Files\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Downloads\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Documents\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Public\Desktop\Restore-My-Files.txt
    2023-03-29 01:23 - 2023-03-29 01:23 - 000000284 _____ C:\Users\Igor\Restore-My-Files.txt
    2023-03-29 01:22 - 2023-03-29 01:22 - 000000284 _____ C:\Users\Igor\Downloads\Restore-My-Files.txt
    2023-03-29 01:17 - 2023-03-29 01:17 - 000000284 _____ C:\Users\Igor\Documents\Restore-My-Files.txt
    2023-03-29 01:06 - 2023-03-29 01:06 - 000000284 _____ C:\Users\Igor\Desktop\Restore-My-Files.txt
    2023-03-29 01:06 - 2023-03-29 01:06 - 000000284 _____ C:\Restore-My-Files.txt
    2023-03-29 01:05 - 2023-03-29 01:05 - 000110592 ___SH C:\ProgramData\kzzx4nab.exe
    2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Windows\winlogon.exe
    2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\Users\Igor\AppData\Roaming\winlogon.exe
    2023-03-29 01:05 - 2023-02-21 22:29 - 000512512 ___SH (Microsoft) C:\ProgramData\winlogon.exe
    AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
    FirewallRules: [{82CDE87C-BA8F-4001-B063-CEB2A9A9047B}] => (Allow) LPort=54925
    FirewallRules: [{57357EC0-FE51-4457-B992-3F7021908F6F}] => (Allow) LPort=9422
    FirewallRules: [{CD1618E0-3082-4069-868D-86C18F9B721B}] => (Allow) LPort=9245
    FirewallRules: [{2FCD5F8F-FFE8-4B28-969A-E8EBDEBB022A}] => (Allow) LPort=9246
    FirewallRules: [{F95E161F-4367-447F-A8E7-0F0949289EF3}] => (Allow) LPort=9247
    FirewallRules: [{D9D191AB-488B-48CF-9181-556C89A40887}] => (Allow) C:\Windows\rss\csrss.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Zip: c:\FRST\Quarantine\
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.


Через Панель управления - Удаление программ - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 27 ActiveX

Adobe Flash Player 27 NPAPI

Adobe Flash Player 27 PPAPI

Wise Registry Cleaner 9.6.5 

 

 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Зачем же вы два раза выполнили скрипт?

Карантин точно отправили? Какого размера получился архив?

Ссылка на сообщение
Поделиться на другие сайты

Добрый день, 

 

В первый раз забыл положить файл fixlist.txt туда, где находился FRST64, во второй сделал все как написано в инструкции. 

Оба раза архивы получились размером 2,66 МБ. Сегодня отправил оба архива в запароленом архиве, в первый раз пришел отбойник, что письмо не доставлено по причине того, что в нем вирус (не запаролил архив).

Ссылка на сообщение
Поделиться на другие сайты
  • 2 months later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
    • Dmitrij777
      От Dmitrij777
      После загрузки образов и редактора, появилась проблема. Kaspersky Total Security выявил трояна MEM:Trojan.Win32.SEPEH.gen , после сканирования  через Virus Removal Tool выявило ещё два, удаление и лечение не помогло.
      CollectionLog-2024.10.30-19.02.zip
    • Bernardo
      От Bernardo
      Друзья привет. 
      Вот несколько дней уже у меня в ноутбуке живет троян, Касперский удаляет его, а позже вирус появляется вновь. Комп стал тормозить(
       
      Логи загрузил. 
      Спасибо
      CollectionLog-2024.10.30-10.31.zip
    • KZMZ
      От KZMZ
      на мой документах стоят не понятный файл который не удаляется
      вот логи с AVZ5 и FRST
      Addition.txt avz_log.txt FRST.txt
    • Ilyambuss
      От Ilyambuss
      здравствуйте, неделю назад обращался сюда с такой проблемой: "после нажатия клавиш Win + L ноутбук уходит в спящий (или ждущий) режим, экран гаснет через пару минут. проблема в том, что когда я оставляю ноутбук в этом режиме, то через несколько минут я слышу, как система охлаждения ноута начинает работать интенсивнее и громче, как будто происходит какой-то процесс. как только выхожу из спящего режима, всё сразу стихает, и как будто ничего и не было". это оказался майнер, сейчас проблема абсолютно идентичного характера, нужна помощь. и прошу прощения что наступаю на те же грабли и занимаю время консультантов, работающих на этом сайте 
      CollectionLog-2024.10.29-21.38.zip
×
×
  • Создать...