lokilocker зашифрованы файлы black bit

22 февраля

Добрый день зашифрованы файлы на сервере и в сети на сетевом диске

Desktop.7z Addition.txt FRST.txt

22 февраля

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

Start::
(explorer.exe ->) (Microsoft) [File not signed] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\winlogon.exe
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-2167710589-2702473778-3371781714-1601\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\A.Kormilitsin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-01-09] (Microsoft) [File not signed] <==== ATTENTION
Startup: C:\Users\A.Kormilitsin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-02-20] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-01-09] (Microsoft) [File not signed] <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
2024-02-20 22:06 - 2024-02-20 22:06 - 000110592 ___SH C:\ProgramData\bs221jkm.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH C:\ProgramData\ubt11yz4.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH C:\ProgramData\jxqio1g2.exe
2024-02-20 15:58 - 2024-02-20 16:03 - 000005924 _____ C:\Windows\SysWOW64\info.hta
2024-02-20 15:58 - 2024-02-20 15:58 - 000110592 ___SH C:\ProgramData\li05cdqm.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH C:\ProgramData\higpq0sz.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH C:\ProgramData\fidekpo5.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-02-20 15:56 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-02-20 13:55 - 2024-02-20 15:56 - 000003236 _____ C:\Windows\system32\Tasks\BlackBit
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH C:\ProgramData\viykspoe.exe
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH C:\ProgramData\b20550oz.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Users\A.Kormilitsin\AppData\Roaming\winlogon.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-02-20 13:51 - 2023-08-06 09:59 - 000128000 _____ C:\Users\A.Kormilitsin\Desktop\NS.exe
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH () C:\ProgramData\b20550oz.exe
2024-02-20 22:06 - 2024-02-20 22:06 - 000110592 ___SH () C:\ProgramData\bs221jkm.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH () C:\ProgramData\fidekpo5.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH () C:\ProgramData\higpq0sz.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH () C:\ProgramData\jxqio1g2.exe
2024-02-20 15:58 - 2024-02-20 15:58 - 000110592 ___SH () C:\ProgramData\li05cdqm.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH () C:\ProgramData\ubt11yz4.exe
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH () C:\ProgramData\viykspoe.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-02-20 14:03 - 2024-02-20 14:03 - 000000386 _____ () C:\Program Files\Restore-My-Files.txt
2024-02-20 14:03 - 2024-02-20 14:03 - 000000386 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2024-02-20 15:57 - 2024-02-20 15:57 - 000000332 _____ () C:\Users\A.Kormilitsin\AppData\Roaming\Restore-My-Files.txt
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Users\A.Kormilitsin\AppData\Roaming\winlogon.exe
2024-02-20 15:57 - 2024-02-20 15:57 - 000000332 _____ () C:\Users\A.Kormilitsin\AppData\Local\Restore-My-Files.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\quarantine с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

23 февраля

принято решение удалить компьютер это виртуальная машина, перестал пускать, возможно расшифровать файлы которые находились на сетевом ресурсе.

23 февраля

К сожалению, расшифровка файлов по LokiLocker/Blackbit невозможна на текущий момент без приватного ключа.

28 февраля

@Антон Петров, здравствуйте!

Не пишите в чужой теме, это нарушение правил раздела.

Создайте свою и выполните Порядок оформления запроса о помощи

lokilocker зашифрованы файлы black bit

Рекомендуемые сообщения

marmon

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

marmon

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum