Перейти к содержанию

зашифрованы файлы black bit


Рекомендуемые сообщения

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

Start::
(explorer.exe ->) (Microsoft) [File not signed] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\winlogon.exe
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-2167710589-2702473778-3371781714-1601\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\A.Kormilitsin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-01-09] (Microsoft) [File not signed] <==== ATTENTION
Startup: C:\Users\A.Kormilitsin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-02-20] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-01-09] (Microsoft) [File not signed] <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
2024-02-20 22:06 - 2024-02-20 22:06 - 000110592 ___SH C:\ProgramData\bs221jkm.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH C:\ProgramData\ubt11yz4.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH C:\ProgramData\jxqio1g2.exe
2024-02-20 15:58 - 2024-02-20 16:03 - 000005924 _____ C:\Windows\SysWOW64\info.hta
2024-02-20 15:58 - 2024-02-20 15:58 - 000110592 ___SH C:\ProgramData\li05cdqm.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH C:\ProgramData\higpq0sz.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH C:\ProgramData\fidekpo5.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-02-20 15:56 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-02-20 13:55 - 2024-02-20 15:56 - 000003236 _____ C:\Windows\system32\Tasks\BlackBit
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH C:\ProgramData\viykspoe.exe
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH C:\ProgramData\b20550oz.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Users\A.Kormilitsin\AppData\Roaming\winlogon.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-02-20 13:51 - 2023-08-06 09:59 - 000128000 _____ C:\Users\A.Kormilitsin\Desktop\NS.exe
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH () C:\ProgramData\b20550oz.exe
2024-02-20 22:06 - 2024-02-20 22:06 - 000110592 ___SH () C:\ProgramData\bs221jkm.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH () C:\ProgramData\fidekpo5.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH () C:\ProgramData\higpq0sz.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH () C:\ProgramData\jxqio1g2.exe
2024-02-20 15:58 - 2024-02-20 15:58 - 000110592 ___SH () C:\ProgramData\li05cdqm.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH () C:\ProgramData\ubt11yz4.exe
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH () C:\ProgramData\viykspoe.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-02-20 14:03 - 2024-02-20 14:03 - 000000386 _____ () C:\Program Files\Restore-My-Files.txt
2024-02-20 14:03 - 2024-02-20 14:03 - 000000386 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2024-02-20 15:57 - 2024-02-20 15:57 - 000000332 _____ () C:\Users\A.Kormilitsin\AppData\Roaming\Restore-My-Files.txt
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Users\A.Kormilitsin\AppData\Roaming\winlogon.exe
2024-02-20 15:57 - 2024-02-20 15:57 - 000000332 _____ () C:\Users\A.Kormilitsin\AppData\Local\Restore-My-Files.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\quarantine с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

принято решение удалить компьютер это виртуальная машина, перестал пускать, возможно расшифровать файлы которые находились на сетевом ресурсе.

Ссылка на комментарий
Поделиться на другие сайты

@Антон Петров, здравствуйте!

Не пишите в чужой теме, это нарушение правил раздела.

Создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • АлександрК879
      От АлександрК879
      Здравствуйте. Поймали эту мерзость.
      В файле virus.zip - сами зашифрованные файлы и требование
      В файле archiv.zip - те же файлы расшифрованные
      Логи остальное 
      Архив.zip virus.zip Addition.txt FRST.txt
    • Андрей1507
      От Андрей1507
      Поймал Black hunt 2.0. Прошу помощи. Весь сервер с 1с зашифрован.откликнитесь кто может помочь. Файлы скину

    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • Radik_Gilmanov
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
×
×
  • Создать...