Перейти к содержанию

Рекомендуемые сообщения

Добрый день! сервер windows server 2016 с RDP был взломан и зашифрован. Заплатили получили дешифратор расшифровали, после перезапуска опять все зашифровано. вирус где то лежит и активен. программы не запускаюся, система загружается как будто в безопасном режиме, службы не работают, active directory тоже

Ссылка на сообщение
Поделиться на другие сайты

Дешифратор подходит к тем файлам, которые по новому были зашифрованы?

Если безопасный режим загружается, сделайте логи из безопасного режима системы:

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Если будут в процессах winlogon.exe, все, которые не из system32 запускались, все выгружайте эти процессы.

+

можно там же в безопасном сделать образ автозапуска системы.

 

Добавьте, пожалуйста, образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

проверьте ЛС

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Судя, по образу использовали Neshta для заражения исполняемых файлов. Придется поначалу пролечить систему из под загрузочного диска, в противном случае, система останется нерабочей после очистки файлов шифровальщика.

Ссылка на сообщение
Поделиться на другие сайты

Перед сканированием с загрузочного диска

в uVS выполните скрипт очистки от активного Neshta, остальное придется лечить с загрузочного диска..

 

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

Скрипт ниже:

;uVS v4.15 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\АДМИН\WINDOWS\SVCHOST.COM
delall %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-GQEDK1N9NQ6\APPDATA\ROAMING\WINLOGON.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-GQEDK1N9NQ6\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WVTYMCOW.BAT
delall %SystemDrive%\USERS\ЧЕСТНЫЙЗНАК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WVTYMCOW.BAT
apply

QUIT

 

Ссылка на сообщение
Поделиться на другие сайты

Да, система очищена от Neshta, активных файлов шифровальщика нет, остались только записки о выкупе.

 

по очистке FRST:

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {167604A9-DBB6-4748-981D-962B8971C1EA} - System32\Tasks\BlackBit => C:\Users\Администратор.WIN-GQEDK1N9NQ6\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2023-12-28 10:34 - 2023-12-28 12:42 - 000041472 _____ C:\Windows\svchost.com
2023-12-27 17:51 - 2023-12-28 10:04 - 000041472 _____ C:\Windows\svchost.com__
2023-12-24 16:43 - 2023-12-27 16:31 - 000041472 _____ C:\Windows\svchost.com_
2023-12-26 09:38 - 2023-12-27 10:13 - 000000365 _____ C:\Users\Администратор.WIN-GQEDK1N9NQ6\AppData\Roaming\wvtymcow.bat_

добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST

 

+

Добавьте несколько зашифрованных файлов, которые не были расшифрованы,

и

2023-12-27 10:18 - 2023-12-27 10:18 - 000000285 _____ C:\Users\Директор\Restore-My-Files.txt

2023-12-25 14:34 - 2023-12-26 09:43 - 000005929 _____ C:\Users\Администратор.WIN-GQEDK1N9NQ6\AppData\Roaming\info.hta

2023-12-25 10:36 - 2023-12-26 09:38 - 000003328 _____ C:\ProgramData\Cpriv.BlackBit

2023-12-24 16:40 - 2023-12-27 10:02 - 000005929 _____ C:\ProgramData\info.BlackBit

 

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, у вас видимо был тот редкий случай, когда надо было дождаться завершения повторного шифрования. :)

Тогда был бы шанс все расшифровать без ошибок.

Рекомендации выполните обязательно, чтобы избежать новых атак шифровальщиков. Они никуда от нас не уйдут и в 2024 году.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Grig
      От Grig
      Не очень добрый день
      сегодня с утра перестало работать несколько служб. Обнаружили на серверах файлы Cpriv.BlackBit. Серверы были выключены. Файлы зашифрованные пока выслать не могу. Подскажите как правильно действовать далее.
    • 116
      От 116
      FRST.txtREAD-ME-SHURKEWIN.zipAddition.txt
      Сегодня утром поступил звонок от пользователя с сообщением при загрузке - "Encrypted by Shuriken..."
      В корне диска С обнаружен файл Cpriv.Shuriken (в запароленном архиве shuriken) и записка о вымогательстве (READ-ME-SHURKEWIN.ZIP + 2 зашифрованных файла)
      В процессе выяснилось что зараженных компьютера минимум 4 + на QNAP часть файлов зашифрована.
      Прошу помочь решить проблему.
      shuriken.7z shuriken.7z
    • Akaruz
      От Akaruz
      Добрый день. Помогите пожалуйста, есть ли возможность расшифровать. Шифровальщик вроде BlackBit. В корне диска С: лежали еще 2 файла (я так понимаю они важны):
      Cpriv.BlackBit и Cpriv2.BlackBit - поместил их в отдельный архив, текст вымогальщика ниже:
       
      !!!All of your files are encrypted!!!
      To decrypt them send e-mail to this address: panda2024@cock.lu
      In case of no answer in 24h, send e-mail to this address: panda2024@cock.lu
      You can also contact us on Telegram: @Panda_decryptor
      All your files will be lost on 11 июля 2024 г. 17:29:46.
      Your SYSTEM ID : 46BC2737
      !!!Deleting "Cpriv.BlackBit" causes permanent data loss.
      Encrypted_files.zip FRST_LOGS.zip файлы_с_диска_С.zip
    • velikoross
      От velikoross
      Компьютер попался крипто вирус black bit 
      Помогите расшифровать, если такое вообще возможно.
      Систему я уже перестановил после этого (отчет снимал с вирусом на борту), зашифрованный файлы скопировал к себе отдельно
      FRST.txt Addition.txt files.zip Restore-My-Files.txt
×
×
  • Создать...