lokilocker подцепил BlackBit

[SeregyI]

Добрый день! сервер windows server 2016 с RDP был взломан и зашифрован. Заплатили получили дешифратор расшифровали, после перезапуска опять все зашифровано. вирус где то лежит и активен. программы не запускаюся, система загружается как будто в безопасном режиме, службы не работают, active directory тоже

[safety]

Дешифратор подходит к тем файлам, которые по новому были зашифрованы?

Если безопасный режим загружается, сделайте логи из безопасного режима системы:

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Если будут в процессах winlogon.exe, все, которые не из system32 запускались, все выгружайте эти процессы.

+

можно там же в безопасном сделать образ автозапуска системы.

 

Добавьте, пожалуйста, образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

проверьте ЛС

 

Изменено 28 декабря, 2023 пользователем safety

[SeregyI]

вот логи и образ

Addition.txt FRST.txt SRV_DPZ_2023-12-28_13-25-32_v4.15.7z

[safety]

Судя, по образу использовали Neshta для заражения исполняемых файлов. Придется поначалу пролечить систему из под загрузочного диска, в противном случае, система останется нерабочей после очистки файлов шифровальщика.

[safety]

Перед сканированием с загрузочного диска

в uVS выполните скрипт очистки от активного Neshta, остальное придется лечить с загрузочного диска..

 

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

Скрипт ниже:

;uVS v4.15 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\АДМИН\WINDOWS\SVCHOST.COM
delall %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-GQEDK1N9NQ6\APPDATA\ROAMING\WINLOGON.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-GQEDK1N9NQ6\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WVTYMCOW.BAT
delall %SystemDrive%\USERS\ЧЕСТНЫЙЗНАК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WVTYMCOW.BAT
apply

QUIT

 

[SeregyI]

скрипт выполнил

[safety]

Далее, обязательно пролечите системный диск с помощью KVRD

https://www.kaspersky.ru/downloads/free-rescue-disk

[SeregyI]

вот новый образ после чистки системы

SRV_DPZ_2023-12-28_16-36-49_v4.15.7z

[safety]

Да, система очищена от Neshta, активных файлов шифровальщика нет, остались только записки о выкупе.

 

по очистке FRST:

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {167604A9-DBB6-4748-981D-962B8971C1EA} - System32\Tasks\BlackBit => C:\Users\Администратор.WIN-GQEDK1N9NQ6\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2023-12-28 10:34 - 2023-12-28 12:42 - 000041472 _____ C:\Windows\svchost.com
2023-12-27 17:51 - 2023-12-28 10:04 - 000041472 _____ C:\Windows\svchost.com__
2023-12-24 16:43 - 2023-12-27 16:31 - 000041472 _____ C:\Windows\svchost.com_
2023-12-26 09:38 - 2023-12-27 10:13 - 000000365 _____ C:\Users\Администратор.WIN-GQEDK1N9NQ6\AppData\Roaming\wvtymcow.bat_

добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST

 

+

Добавьте несколько зашифрованных файлов, которые не были расшифрованы,

и

2023-12-27 10:18 - 2023-12-27 10:18 - 000000285 _____ C:\Users\Директор\Restore-My-Files.txt

2023-12-25 14:34 - 2023-12-26 09:43 - 000005929 _____ C:\Users\Администратор.WIN-GQEDK1N9NQ6\AppData\Roaming\info.hta

2023-12-25 10:36 - 2023-12-26 09:38 - 000003328 _____ C:\ProgramData\Cpriv.BlackBit

2023-12-24 16:40 - 2023-12-27 10:02 - 000005929 _____ C:\ProgramData\info.BlackBit

 

[SeregyI]

Fixlog.txt

[safety]

Хорошо, у вас видимо был тот редкий случай, когда надо было дождаться завершения повторного шифрования.

Тогда был бы шанс все расшифровать без ошибок.

Рекомендации выполните обязательно, чтобы избежать новых атак шифровальщиков. Они никуда от нас не уйдут и в 2024 году.