Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

попались на фишинговое письмо с "Актом сверки". Просьба оказать содействие в расшифровке, в основном документы и база 1С8

файлы по инструкции в закрепе

 

virus_pass_123451.7z Addition.txt FRST.txt

Изменено пользователем art197474
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Сообщите нужна ли помощь в очистке системы от его следов (и не только) или планируете переустановку.

  • 3 недели спустя...
Опубликовано

Будьтье осторожны под видом советов в личные сообщения шлют контакты людей, которые также вытягивают деньги утверждая что могут расшифровать данные.

Вот этот товарищ прислал контакт https://forum.kasperskyclub.ru/profile/68549-igor_lavrentij/

цитата "добрый день, попробуйте написать этому человеку, поможет с восстановлением  https://t.me/help_daemon"

в телеграмм переписка уже подчищена

оплату просят в BTC: Оплата на кошелек BTC
Bitcoin (BTC) Address: bc1qchm9tnxkn05nt2xm0u9axj9vf98x9gm67fdut3

 

Запросил примеры зашифрованных файлов. Потом прислал короткий ролик на котором файлы в папке при выполнении некоего скрипта расшифровываются. 

Наотрез не соглашался на частичную предплату или по окончанию дешифровки.

после частичной оплаты прислал запароленный архив якобы с расшифрованной базой, и за пароль от архива просил еще денег.

Опубликовано

По очистке системы:

Активных бэкдоров уже нет.

Выполните скрипт очистки в uVS из буфера обмена.

Запускаем start.exe от имени Администратора (если не запущен сейчас)

в меню выбираем текущий пользователь, далее

Копируем в браузере скрипт в буфер обмена, закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже.
 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

hide %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delref HTTP://SEARCH.CONDUIT.COM/RESULTSEXT.ASPX?Q={SEARCHTERMS}&SEARCHSOURCE=4&CTID=CT2127165
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FMFNFNPMHCLLOKMKEPFFNDFLPNADJMMA\3.9.4.9_0\DEALPLY BRAZIL
delall %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\DC7F192055060B03A9DB3F317CC46541\36F7D20F552D448A5F306F2274BB6B61D9BCC1B2
delall E:\AUTOINSTALLER.EXE
delall I:\AUTORUN.EXE
delall E:\AUTORUN.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\BARBIE™ 12 ТАНЦУЮЩИХ ПРИНЦЕСС.LNK
delall %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\676FF3271B9D11A2D48EA2D2A8121EC1\C5A606B976529FE9A27C8FAF35D5C7A0A18FB874
delref FILES\DEALPLY\DEALPLYUPDATE.EXE
zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\DOWNLOADS\GET-STYLES.EXE
addsgn 1A760C9A5583358CF42B62D9D45D53054175C9F689FA1FF3C1E7D5353CF261C14F33D37CDE06CB1E8A34E5DC46270C064E1AB8FB30324F59D5FCE1D30043DE8D 8 Adware.Bho.3875 [DrWeb] 7

chklst
delvir

deldirex %SystemDrive%\USERS\755E~1\APPDATA\ROAMING\DSITE\UPDATE~1

deldirex %SystemDrive%\PROGRAM FILES\DEALPLY

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
apply

; DealPly (remove only)
exec C:\Program Files\DealPly\uninst.exe

; Get Styles for Opera
exec C:\Program Files\Get-Styles 2.0\op\uninstall.exe

; Get-Styles for Chrome
exec C:\Program Files\Get-Styles 2.0\ch\uninstall.exe

; Get-Styles for IE
exec C:\Program Files\Get-Styles 2.0\ie\uninstall.exe

; Get-Styles для ВКонтакте
exec C:\Program Files\Get-Styles 2.0\utils\uninstall.exe

; Radio W Toolbar
exec C:\Program Files\Radio_W\uninstall.exe

; Java(TM) 6 Update 29
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216018FF} /quiet

; DealPly
exec C:\Users\пользователь\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe /Uninstall

deltmp
delref %SystemDrive%\USERS\755E~1\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE
delref %SystemDrive%\PROGRAM
delref %SystemDrive%\PROGRAM FILES\MICROSOFT SECURITY CLIENT\MPCMDRUN.EXE
delref %SystemDrive%\PROGRAM FILES\THE SIMS 3\THE SIMS 3 ВСЕ ВОЗРАСТЫ\GAME\BIN\TS3EP04.EXE
delref %SystemDrive%\PROGRAM FILES\THE SIMS 3\GAME\BIN\TS3.EXE
delref D:\SETUP\REDIST\DIRECTX8\DXSETUP.EXE
delref %SystemDrive%\PROGRAM FILES\BARBIE(TM)\ПАРАД ЗВЕРЮШЕК КЛУБА ШЕЛЛИ\LAUNCH.EXE
delref D:\DIRECTX 9.0C\DXSETUP.EXE
delref D:\SIMS3SP06SETUP.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\DOWNLOADS\X820_USB_DRIVER.EXE
delref %SystemDrive%\PROGRA~1\DIRECTX\DXSETUP.EXE
delref %SystemDrive%\PROGRAM FILES\ZTEMF626\БИЛАЙН ИНТЕРНЕТ ДОМА\BEELINE HOME INTERNET.EXE
delref D:\SUPPORT\MYSIMS_CODE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\ZVEAJ6DN\RADIO_W[1].EXE
delref %SystemDrive%\PROGRAM FILES\THE SIMS 3 - ИНТЕРНЫ\GAME\BIN\TS3.EXE
delref %SystemDrive%\GAMES\BRATZB~1\UNWISE.EXE
delref %SystemDrive%\PROGRAM FILES\SHREK 2 ACTIVITY CENTER\UNINSTALL.EXE
delref D:\SETUP.EXE
delref D:\VP6\VP6INSTALL.EXE
delref D:\OALINST.EXE
delref %SystemDrive%\GAMES\RATATOUILLE\RAT\GAMESETUP.EXE
delref D:\GAME0.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCALLOW\RADIO_W\PRXTBRAD1.DLL
delref %SystemDrive%\PROGRAM FILES\RADIO_W\PRXTBRAD0.DLL
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\EWUSBNET.SYS
delref %SystemRoot%\GDRV.SYS
delref %Sys32%\DRIVERS\EWUSBDEV.SYS
delref %SystemDrive%\PROGRA~1\MCAFEE\SITEAD~1\MCSACORE.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\MICROSOFT ANTIMALWARE\DEFINITION UPDATES\{DE55280B-64B4-4950-9B4B-48ACE178A58C}\MPKSL2083043C.SYS
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\MICROSOFT ANTIMALWARE\DEFINITION UPDATES\{DE55280B-64B4-4950-9B4B-48ACE178A58C}\MPKSL557622FC.SYS
delref %Sys32%\PSXSS.EXE
delref {5A8FF410-F3CE-4844-B31B-F18D911239E8}\[CLSID]
delref {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064}\[CLSID]
delref {30F9B915-B755-4826-820B-08FBA6BD249D}\[CLSID]
delref {963B125B-8B21-49A2-A3A8-E37092276531}\[CLSID]
delref {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\[CLSID]
delref {B164E929-A1B6-4A06-B104-2CD0E90A88FF}\[CLSID]
delref {B4EFB02B-CD4A-44B9-B5D9-AA486CDFFAB6}\[CLSID]
delref D:\SETUP\REMOVE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\BROMIUM\APPLICATION\18.0.1025.1634\INSTALLER\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES\BARBIE(TM)\BARBIE(TM) IN THE 12 DANCING PRINCESSES\GAME.EXE
delref %SystemDrive%\PROGRAM FILES\ICE AGE 3 - DAWN OF THE DINOSAURS\ICEAGE3.EXE
delref %SystemDrive%\PROGRAM FILES\CONNECT MANAGER\UIMAIN.EXE
delref %SystemDrive%\GAMES\STYLING FACTORY\STYLINGFACTORY.EXE
delref %SystemDrive%\PROGRAM FILES\ORIGIN\ORIGIN.EXE
delref %SystemDrive%\PROGRAM FILES\ORIGIN\ORIGINUNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\VKSAVER\VKSAVERUI.EXE
delref %SystemDrive%\BP7\BP.EXE
delref %SystemDrive%\PROGRAM FILES\SHREK 2\SYSTEM\GAME.EXE
delref %SystemDrive%\PROGRAM FILES\SHREK 2\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\SHREK 2 ACTIVITY CENTER\SHREK2.EXE
;-------------------------------------------------------------

restart
czoo

Пришлите нам файл лога очистки: дата_времяlog.txt из папки, откуда запускали uVS.

Опубликовано

К сожалению, расшифровка файлов после Lockbit v3Black/CryptomanGizmo невозможна без приватного ключа.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Пока единственный способ защититься -зашита от проникновения, запрет на запуск исполняемых файлов из архивных файлов, актуальная антивирусная защита всех узлов, наличие бэкапов.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Андрей45
      Автор Андрей45
      Добрый день

      поймали  вирус локбит3 блэк
       
      Ниже две ссылки
      1. Файл образа диска. ссылку отпрвлю в лс, напишите мне пожалуйста, не могу
      Это , якобы,  расшифрованный проблемный диск. Ранее у него было двойное  расширение (upyVegTmW.upyVegTmW) и файл не поменял расширение. Мы поменяли его в ручную на VHD и прогоняли черещ Р-студио , но данные внутри частично повреждены. Возможно диск был зашифрован два раза.
      2. во вложении декриптор и приемры файлов. нас очень интересует возможность расшифровать vhd диски.

      Вопрос
      Можно ли расшифровать до конца файл образа диска? или нет. Мы получили дешифратор, но как будто диск зашифровался два раза.  Через р студио часть данных битые.
      virus.rar
    • Rival
      Автор Rival
      Добрый день! Просим Вашей помощи в возможности расшифровки файлов. FRST запускался к сожалению уже после проверки системой через KVRT - тот нашёл и вычистил потенциального зловреда (во вложении).
      FRST.txt unity.zip Addition.txt
      decrypted_files.zip
    • Андрей Салтыков
      Автор Андрей Салтыков
      Здравствуйте, зашифровали файлы.
      Our Telegram for decrypt - @limes853
      You can send some small test files to test our decryptor.
      You pay a few thousand USDT and we will provide you with a decryptor, detailed information about the cyberattack, backdoor and tips for future protection.Файлы.rar Сам шифровальщик intel.7z Отчет.rar
    • CreativeArch
    • Sart
      Автор Sart
      Приветствую
      Зашифровано давно, февраль 2023 г
      Человек открыл вложение "Информация должнику.exe" из письма
      Просто оставлю тут, вдруг когда-нибудь всплывёт расшифровка
      blackbit.rar
×
×
  • Создать...