lokilocker зашифрованы файлы black bit

[marmon]

Добрый день зашифрованы файлы на сервере и в сети на сетевом диске

Desktop.7z Addition.txt FRST.txt

[safety]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

Start::
(explorer.exe ->) (Microsoft) [File not signed] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\winlogon.exe
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-2167710589-2702473778-3371781714-1601\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\A.Kormilitsin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-01-09] (Microsoft) [File not signed] <==== ATTENTION
Startup: C:\Users\A.Kormilitsin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-02-20] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-01-09] (Microsoft) [File not signed] <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
2024-02-20 22:06 - 2024-02-20 22:06 - 000110592 ___SH C:\ProgramData\bs221jkm.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH C:\ProgramData\ubt11yz4.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH C:\ProgramData\jxqio1g2.exe
2024-02-20 15:58 - 2024-02-20 16:03 - 000005924 _____ C:\Windows\SysWOW64\info.hta
2024-02-20 15:58 - 2024-02-20 15:58 - 000110592 ___SH C:\ProgramData\li05cdqm.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH C:\ProgramData\higpq0sz.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH C:\ProgramData\fidekpo5.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-02-20 15:56 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-02-20 13:55 - 2024-02-20 15:56 - 000003236 _____ C:\Windows\system32\Tasks\BlackBit
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH C:\ProgramData\viykspoe.exe
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH C:\ProgramData\b20550oz.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Users\A.Kormilitsin\AppData\Roaming\winlogon.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-02-20 13:51 - 2023-08-06 09:59 - 000128000 _____ C:\Users\A.Kormilitsin\Desktop\NS.exe
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH () C:\ProgramData\b20550oz.exe
2024-02-20 22:06 - 2024-02-20 22:06 - 000110592 ___SH () C:\ProgramData\bs221jkm.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH () C:\ProgramData\fidekpo5.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH () C:\ProgramData\higpq0sz.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH () C:\ProgramData\jxqio1g2.exe
2024-02-20 15:58 - 2024-02-20 15:58 - 000110592 ___SH () C:\ProgramData\li05cdqm.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH () C:\ProgramData\ubt11yz4.exe
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH () C:\ProgramData\viykspoe.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-02-20 14:03 - 2024-02-20 14:03 - 000000386 _____ () C:\Program Files\Restore-My-Files.txt
2024-02-20 14:03 - 2024-02-20 14:03 - 000000386 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2024-02-20 15:57 - 2024-02-20 15:57 - 000000332 _____ () C:\Users\A.Kormilitsin\AppData\Roaming\Restore-My-Files.txt
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Users\A.Kormilitsin\AppData\Roaming\winlogon.exe
2024-02-20 15:57 - 2024-02-20 15:57 - 000000332 _____ () C:\Users\A.Kormilitsin\AppData\Local\Restore-My-Files.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\quarantine с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[marmon]

принято решение удалить компьютер это виртуальная машина, перестал пускать, возможно расшифровать файлы которые находились на сетевом ресурсе.

[safety]

К сожалению, расшифровка файлов по LokiLocker/Blackbit невозможна на текущий момент без приватного ключа.

[Sandor]

@Антон Петров, здравствуйте!

Не пишите в чужой теме, это нарушение правил раздела.

Создайте свою и выполните Порядок оформления запроса о помощи