Перейти к содержанию

Файлы компьютера зашифрованы BlackBit


Рекомендуемые сообщения

Добрый день. Компьютер сотрудника утром обрадовал сообщением, что файлы зашифрованы blackbit. К компу был доступ по rdp, следом еще 2 пк в сети зашифрованы. 

files.rar Addition.rar

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки системы

 

Start::
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
2024-02-28 02:08 - 2024-02-28 02:08 - 000005931 _____ C:\Users\Alla\Desktop\info.hta
2024-02-28 02:08 - 2024-02-28 02:08 - 000005931 _____ C:\info.hta
2024-02-27 20:22 - 2024-02-27 20:22 - 000000334 _____ C:\Users\Public\Restore-My-Files.txt
2024-02-27 20:21 - 2023-12-09 16:34 - 000556032 ___SH C:\Windows\winlogon.exe
2024-02-27 20:21 - 2023-12-09 16:34 - 000556032 ___SH C:\ProgramData\winlogon.exe
2024-02-27 20:09 - 2024-02-28 15:57 - 000000000 ____D C:\Program Files (x86)\Everything
2024-02-27 20:09 - 2024-02-27 20:09 - 000000000 ____D C:\Users\Alla\AppData\Roaming\Everything
2024-02-27 20:08 - 2024-02-27 20:09 - 001789560 _____ () C:\Users\Alla\Downloads\Everything-1.4.1.1024.x86-Setup.exe
2024-02-27 20:07 - 2024-02-27 20:21 - 000000000 ____D C:\Users\Alla\Desktop\mimikatz-master
2024-02-27 20:21 - 2023-12-09 16:34 - 000556032 ___SH () C:\ProgramData\winlogon.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\quarantine с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

+

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки

Скрипт ниже:


 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 1
regt 2
;---------command-block---------
delall %SystemDrive%\PROGRAM FILES (X86)\EVERYTHING\EVERYTHING.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPOMEKHCHNGAOOFFDADFJNGHFKAEIPOBA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFAHHEAKDHOEOIGMAFEJKEHDOEIKPGDFP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
apply

QUIT

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS

+

проверьте ЛС

Ссылка на сообщение
Поделиться на другие сайты

--------------------------------------------------------
regt 1
--------------------------------------------------------
Разблокировка диспетчера задач...
Диспетчер задач разблокирован
--------------------------------------------------------
regt 2
--------------------------------------------------------
Разблокировка редактора реестра...
Редактор реестра разблокирован

 

С расшифровкой по данному типу шифровальщика - LokiLocker Ransomware, к сожалению не сможем помочь.

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Samoxval
      От Samoxval
      Прошу помочь если возможно расшифровать

    • Bredmon
      От Bredmon
      Поймал шифровальщик, все файлы стали с расширением blackbit, системные приложения не запускаются
      Addition.txt files.zip FRST.txt SQL_2024-03-15_04-28-34_v4.15.1.7z
    • marmon
      От marmon
      Добрый день зашифрованы файлы на сервере и в сети на сетевом диске
      Desktop.7z Addition.txt FRST.txt
    • wowabas_1959
      От wowabas_1959
      Неожиданно сегодня прилетел BlackBit и зашифровал системный диск и диск с архивом. Требует денег.
      Систему-то я могу переустановить с нуля, а вот архивы (фото, документы) жалко.
      Необходимые файлы как смог приготовил. Хотя через несколько секунд они тоже шифруются.
       А вот добавить образ автозапуска системы в uVS не могу.
      архив программы скачивал несколько раз и из разных мест.
      При попытке риаспаковать данный архив с программой в отдельный каталог пишет поврежденный архив.
      Addition.txt eb2d57b2-83b2-45ac-80aa-e28b8e2a3089.zip FRST.txt
    • gatebbs
      От gatebbs
      Добрый день!
       
      Словил сегодня Shuriken
      Также сохранил файлы 

      то что просят 
      >>>> Your data are encrypted ...
              All your files have been encrypted by Shuriken !!!
              
              To decrypt them send e-mail to this address : decryption@msgsafe.io
              
              If you do not receive a response within 24 hours, send an email to this address: decryptor@waifu.club
              
              Need a quick decryption ? Send a telegram message @ShurikenAdmin
              
              
      >>>> Your DECRYPTION ID :  382856DD
              Enter the ID of your files in the subject!
              
      >>>>  What is our decryption guarantee?
              Before paying you can send us up to 2 test files for free decryption !
              
              The total size of files must be less than 2Mb.(non archived) !
              
              Files should not contain valuable information.(databases,backups) !
              
              Compress the file with zip or 7zip or rar compression programs and send it to us!382856DD
      Addition.txt FRST.txt Shuriken.rar
×
×
  • Создать...