Перейти к содержанию

Поймал вирус шифратор Black Bit


Рекомендуемые сообщения

На протяжении некоторого времени, мой компьютер находился во включенном состоянии. Ранее я баловался с удаленным доступом к компьютеру через удаленный рабочий стол. Сегодня вывел компьютер из спящего режима и увидел на рабочем столе изображение с надписью "BLACK BIT и т.д", изображение с полным текстом в архиве, также я написал сообщение на указанный почтовый адрес изображение с ответом также есть в архиве. По инструкции в архив были добавлены зашифрованные файлы и их оригиналы, а также файлы которые создал вирус, это два файла "Cpriv.BlackBit", "Cpriv2.BlackBit", "info.hta" и "Restore-My-Files.txt". Также в инструкции было написан про "Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool" данная программа не запускается от слова совсем не в обычном режиме не в режиме администратора.

файлы.rar

Ссылка на сообщение
Поделиться на другие сайты

Соберите образ автозапуска системы в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, Win7, Win8, Win10 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты

Сегодня лазил по компьютеру и увидел на рабочем столе папку "HI". Также добавил в отдельный архив отдельно от образа автозапуска системы в uVS. Спасибо что помогаете мне в этом непростом деле, если бы не фотографии, я бы сюда даже не обращался, а просто бы снес винду и все.

вОЗМОЖНО ФАЙЛЫ ВИРУСА.rar HOME-PC_2023-12-02_10-22-48_v4.14.1.7z

Изменено пользователем Pavel Morozov
Ссылка на сообщение
Поделиться на другие сайты

Файлы зашифрованы LokiLocker,  к сожалению на текущий момент без возможности расшифровать без приватного ключа.

Сэмпл действительно является шифровальщиком Lokiocker/Blackbit

https://www.virustotal.com/gui/file/0fd65057467344e1f32b70ff411bdd65cab0fae912864183938dbd9e79199620/detection

Важные файлы+ записку о выкупе+ все файлы Cpriv* сохраните на отдельное устройство, возможно в будушем расшифровка станет возможной.

+

проверьте ЛС

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • heimdall
      От heimdall
      Добрый день. Компьютер сотрудника утром обрадовал сообщением, что файлы зашифрованы blackbit. К компу был доступ по rdp, следом еще 2 пк в сети зашифрованы. 
      files.rar Addition.rar
    • marmon
      От marmon
      Добрый день зашифрованы файлы на сервере и в сети на сетевом диске
      Desktop.7z Addition.txt FRST.txt
    • wowabas_1959
      От wowabas_1959
      Неожиданно сегодня прилетел BlackBit и зашифровал системный диск и диск с архивом. Требует денег.
      Систему-то я могу переустановить с нуля, а вот архивы (фото, документы) жалко.
      Необходимые файлы как смог приготовил. Хотя через несколько секунд они тоже шифруются.
       А вот добавить образ автозапуска системы в uVS не могу.
      архив программы скачивал несколько раз и из разных мест.
      При попытке риаспаковать данный архив с программой в отдельный каталог пишет поврежденный архив.
      Addition.txt eb2d57b2-83b2-45ac-80aa-e28b8e2a3089.zip FRST.txt
    • gatebbs
      От gatebbs
      Добрый день!
       
      Словил сегодня Shuriken
      Также сохранил файлы 

      то что просят 
      >>>> Your data are encrypted ...
              All your files have been encrypted by Shuriken !!!
              
              To decrypt them send e-mail to this address : decryption@msgsafe.io
              
              If you do not receive a response within 24 hours, send an email to this address: decryptor@waifu.club
              
              Need a quick decryption ? Send a telegram message @ShurikenAdmin
              
              
      >>>> Your DECRYPTION ID :  382856DD
              Enter the ID of your files in the subject!
              
      >>>>  What is our decryption guarantee?
              Before paying you can send us up to 2 test files for free decryption !
              
              The total size of files must be less than 2Mb.(non archived) !
              
              Files should not contain valuable information.(databases,backups) !
              
              Compress the file with zip or 7zip or rar compression programs and send it to us!382856DD
      Addition.txt FRST.txt Shuriken.rar
×
×
  • Создать...