lokilocker Компьютер инфицирован Black Bit. Требуют выкуп, угрожают что через месяц данные уничтожаться.

[Yonas]

Здравствуйте. Принесли компьютер (сервер)  инфицированный шифровальщиком Black Bit. Каким образом поймали шифровальщик пока неизвестно, скорее всего по RDP. Зашифрованные файлы сменили названия, например [howtodecryptsupport@cock.li][72F86E9A]desktop.ini.BlackBit. Там же лежит текстовый файлик с почтой для связи с злоумышленниками howtodescrypsupport@cock.li. Если не будет ответа через 24 часа, то просят написать на unlocker@decoymail.net или связаться в Телеграмм @rdp_help, и указан SYSTEM ID: 72F86E9A. 

Addition.txt FRST.txt ВозможноВирус.7z Файлы и требование.7z

[safety]

Добрый день,

 

по файлу: это действительно шифровальщик LokiLocker

по зашифрованным файлам: файлы зашифрованы LokiLocker, на текущий момент расшифровки нет без приватного ключа.

Сохраните зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
If you want to restore them, write us to the e-mail: howtodecryptsupport@cock.li
Write this ID in the title of your message: 72F86E9A
In case of no answer in 24 hours write us to this e-mail: unlocker@decoymail.net
HKU\S-1-5-21-2036546593-4217952717-3241215543-500\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2023-12-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2023-12-20] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {9ECADE34-CA8C-431E-98AE-9BC0D0815D92} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2023-12-20 09:38 - 2023-12-20 09:38 - 000110592 ___SH C:\ProgramData\eaosk1wv.exe
2023-12-19 13:01 - 2023-12-20 09:38 - 000005929 _____ C:\Windows\SysWOW64\info.hta
2023-12-19 13:01 - 2023-12-19 13:01 - 000110592 ___SH C:\ProgramData\35hulyfv.exe
2023-12-19 13:01 - 2023-12-19 13:01 - 000000000 ____D C:\Users\Администратор\AppData\Local\Temp\2
2023-12-19 08:57 - 2023-12-19 08:57 - 000000335 _____ C:\Users\Restore-My-Files.txt
2023-12-19 08:55 - 2023-12-19 08:55 - 000110592 ___SH C:\ProgramData\1lkxpojg.exe
2023-12-19 08:55 - 2023-12-19 08:55 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2023-12-19 08:55 - 2023-12-09 16:34 - 000556032 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2023-12-19 02:29 - 2023-12-20 09:38 - 000005929 _____ C:\info.hta
2023-12-19 02:29 - 2023-12-19 02:29 - 000005929 _____ C:\Users\Администратор\Desktop\info.hta
2023-12-19 02:22 - 2023-12-19 02:22 - 000000335 _____ C:\ProgramData\Restore-My-Files.txt
2023-12-19 02:21 - 2023-12-19 02:21 - 000000335 _____ C:\Program Files\Restore-My-Files.txt
2023-12-19 02:21 - 2023-12-19 02:21 - 000000335 _____ C:\Program Files (x86)\Restore-My-Files.txt
2023-12-19 02:20 - 2023-12-20 09:38 - 000000000 ____D C:\Program Files (x86)\Everything
2023-12-19 02:20 - 2023-12-19 08:53 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Everything
2023-12-19 02:19 - 2023-12-19 02:19 - 000110592 ___SH C:\ProgramData\pzc3p0j1.exe
2023-12-19 02:19 - 2023-12-09 16:34 - 000556032 ___SH (Microsoft) C:\Windows\winlogon.exe
2023-12-19 02:19 - 2023-12-09 16:34 - 000556032 ___SH (Microsoft) C:\Users\Администратор\AppData\Roaming\winlogon.exe
2023-12-19 02:19 - 2023-12-09 16:34 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2023-12-19 02:10 - 2023-12-19 02:20 - 000000000 ____D C:\Users\Администратор\Desktop\mimikatz-master
2023-12-19 02:20 - 2023-12-19 02:20 - 001789560 _____ () C:\Users\Администратор\Downloads\Everything-1.4.1.1024.x86-Setup.exe
2023-12-19 02:20 - 2023-12-19 02:20 - 000001003 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Everything.lnk
2023-12-18 23:53 - 2023-12-09 16:34 - 000556032 _____ (Microsoft) C:\Users\Администратор\Desktop\howtodecryptsupport@cock.li.exe
2023-12-19 08:55 - 2023-12-19 08:55 - 000110592 ___SH () C:\ProgramData\1lkxpojg.exe
2023-12-19 13:01 - 2023-12-19 13:01 - 000110592 ___SH () C:\ProgramData\35hulyfv.exe
2023-12-20 09:38 - 2023-12-20 09:38 - 000110592 ___SH () C:\ProgramData\eaosk1wv.exe
2023-12-19 02:19 - 2023-12-19 02:19 - 000110592 ___SH () C:\ProgramData\pzc3p0j1.exe
2023-12-19 02:19 - 2023-12-09 16:34 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2023-12-19 02:21 - 2023-12-19 02:21 - 000000335 _____ () C:\Program Files\Restore-My-Files.txt
2023-12-19 02:21 - 2023-12-19 02:21 - 000000335 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2023-12-19 02:19 - 2023-12-09 16:34 - 000556032 ___SH (Microsoft) C:\Users\Администратор\AppData\Roaming\winlogon.exe
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Yonas]

Добрый день. Сохранили данные. Далее сделали по инструкции, только текст скрипта сначала перенесли в тхт файл, и из него потом копировали на инфицированном ПК. После лечения не запускались уже окошки с требованиями вымогателей. При лечении не был подключен внешний жесткий диск. С подключенным внешним жестким диском делали перезагрузку, ничего от вымогателей не запускалось. Может сделать ещё раз лечение с подключенным диском?

1C_2023-12-21_12-58-21_v4.14.1.7z Fixlog.txt

На внешнем диске в корне лежит info.hta

[safety]

Внешний диск можно пока не подключать пока не завершим очистку.

Все вредоносные файлы размещены на системном диске.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.15 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\EVERYTHING\EVERYTHING.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINLOGON.EXE
addsgn 1A0D2B9A5583E88CF42B254E3143FE86C9AA77B381AC48128D9A7BE4A09771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Trojan:Win32/Mamson.A!ml [Microsoft] 7

chklst
delvir

apply

regt 28
regt 29
deltmp
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PROGRA~1\MICROS~1\OFFICE14\URLREDIR.DLL
delref %SystemDrive%\PROGRA~2\MICROS~1\OFFICE14\URLREDIR.DLL
delref %SystemDrive%\PROGRA~1\MICROS~1\OFFICE14\IEAWSDC.DLL
delref %SystemDrive%\PROGRA~2\MICROS~1\OFFICE14\IEAWSDC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE14\OWSSUPP.DLL
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE14\STSLIST.DLL
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref %SystemDrive%\PROGRA~2\MICROS~1\OFFICE14\OWSCLT.DLL
delref %SystemDrive%\PROGRA~1\MICROS~1\OFFICE14\AUTHZAX.DLL
delref %SystemDrive%\PROGRA~2\MICROS~1\OFFICE14\AUTHZAX.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref %SystemDrive%\PROGRA~2\MICROS~1\OFFICE14\STSCOPY.DLL
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE14\SOCIALCONNECTOR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE14\NAME.DLL
delref %SystemDrive%\PROGRA~2\MICROS~1\OFFICE14\OUTLOOK.EXE
delref %SystemDrive%\PROGRA~2\MICROS~1\OFFICE14\MLCFG32.CPL
delref %SystemDrive%\PROGRA~2\MICROS~1\OFFICE14\NPAUTHZ.DLL
delref %SystemDrive%\PROGRA~2\MICROS~1\OFFICE14\NPSPWRAP.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\ONFILTER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE14\ONFILTER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\MSOHEVI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE14\MSOHEVI.DLL
delref %SystemDrive%\PROGRA~2\MICROS~1\OFFICE14\MLSHEXT.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\OLKFSTUB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE14\OLKFSTUB.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE14\MSOXMLMF.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\OFFICE14\MSOXMLMF.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\NAMEEXT.DLL
delref %Sys32%\RFXVMT.DLL
delref %SystemDrive%\PROGRA~1\MICROS~1\OFFICE14\NPAUTHZ.DLL
delref %SystemDrive%\PROGRAM FILES\CRYPTO PRO\CSP\CPCONFIG.CPL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\VISSHE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\SOURCE ENGINE\OSE.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICESOFTWAREPROTECTIONPLATFORM\OSPPSVC.EXE
delref %Sys32%\PSXSS.EXE
;-------------------------------------------------------------

restart
czoo

После перезарузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату

+

проверьте ЛС.

Изменено 21 декабря, 2023 пользователем safety

[Yonas]

Второй скрипт сделал. Лог прилагаю

2023-12-21_14-26-19_log.txt

[safety]

Система очищена от вирусных тел шифровальщика.

Возможно остались в некоторых папках записки о выкупе, можно будет удалить их вручную.

Restore-My-Files.txt

info.hta

[Yonas]

В личном написал

Спасибо огромное, остальное конечно же почистим