lokilocker Зашифровали компьютер suppdecrypt@onionmail.com

[Samoxval]

Прошу помочь если возможно расшифровать

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

[Samoxval]

Логи к сожалению он сражу же шифрует и архив даже с паролем не создает

[Sandor]

• Цитата

  Подготовьте несколько небольших зашифрованных документов (двух будет достаточно), файл с требованиями злоумышленников и упакуйте их в архив.

  Это сделайте.

[Samoxval]

Логи зашифрованные и файл с требованиями.rar
тут зашифрованные логи от FRST64 и файл их требований

Он работает по локальнйо сети, в 02:55 начал сегодня свое дело.
два пк в сети зашифрованы.
Нам если често нужно всего лишь 2 файла из всего, если их удастся расшифровать то как бы система уже не важна.
есть удаленный доступ на машины если нужно могу предоставить

[kmscom]

Сообщение от модератора kmscom

Тема перемещена из раздела Компьютерная помощь

 

[safety]

16 minutes ago, Samoxval said:

тут зашифрованные логи от FRST64 и файл их требований

В безопасный режим можете войти? очевидно в процессах активный шифровальщик, это могут быть процессы winlogon.exe, которые запущены не из system32. Они и шифруют. Если диспетчер процессов работает (скорее всего запуск заблокирован), закройте эти процессы. Хотя они могут через задачи заново запуститься. Так что лучше пробовать зайти в безопасный с поддержкой сети и из него собрать логи FRST, надо вначале вылечить систему.

[Samoxval]

Принял, сейчас попробую, диспетчер задач недоступен сейчас, его брокирует

 

В безопасном режиме так же диспетчер задач недоступен(

Addition.txtFRST.txt

Но в безопасном он не зашифровал наш лог

 

Диспетчер включил в реестре и запустил кврт, был опыт что кврт блочит нехорошие процессы автоматом

Без вашей команды ничего делать не буду

[safety]

Quote

Без вашей команды ничего делать не буду

Все правильно.

дополнительно система заражена еще и Neshta/

Neshta можно пролечить  только с загрузочного диска.

 

в безопасном режиме:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

 

Start::
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-2409199089-102664677-2533462436-1001\...\Run: [ut] => "C:\Users\1\AppData\Roaming\uTorrent\uTorrent.exe"  /MINIMIZED (Нет файла)
HKU\S-1-5-21-2409199089-102664677-2533462436-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [9296592 2024-03-18] () [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-2409199089-102664677-2533462436-1001\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\info.hta [2024-03-18] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-03-18] () [Файл не подписан] <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-03-18] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-03-18] () [Файл не подписан]
Task: {B0938FB3-7057-42BD-9F3B-19CC9E7299BA} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2024-03-18 14:30 - 2024-03-18 14:30 - 000110592 ___SH C:\ProgramData\oh3zl1su.exe
2024-03-18 14:30 - 2024-03-18 14:30 - 000110592 ___SH C:\ProgramData\ecarcxbt.exe
2024-03-18 14:28 - 2024-03-18 14:28 - 000110592 ___SH C:\ProgramData\vqvvy0xe.exe
2024-03-18 14:28 - 2024-03-18 14:28 - 000110592 ___SH C:\ProgramData\hzvy5qmg.exe
2024-03-18 14:25 - 2024-03-18 14:25 - 000110592 ___SH C:\ProgramData\yuwjqaqv.exe
2024-03-18 14:25 - 2024-03-18 14:25 - 000110592 ___SH C:\ProgramData\4pp21jpa.exe
2024-03-18 12:15 - 2024-03-18 12:15 - 000110592 ___SH C:\ProgramData\xj3i0mmn.exe
2024-03-18 12:15 - 2024-03-18 12:15 - 000110592 ___SH C:\ProgramData\ldcplztr.exe
2024-03-18 11:50 - 2024-03-18 14:28 - 000041472 _____ C:\Windows\svchost.com
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ВНИМАНИЕ
2024-03-18 10:52 - 2024-03-18 11:50 - 000152064 ___SH C:\ProgramData\fxoo0l2x.exe
2024-03-18 10:52 - 2024-03-18 11:48 - 000152064 ___SH C:\ProgramData\0zbtlxez.exe
2024-03-18 10:51 - 2024-03-18 11:50 - 000152064 ___SH C:\ProgramData\oj0w5xu5.exe
2024-03-18 10:51 - 2024-03-18 10:51 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-03-18 10:51 - 2023-11-14 18:19 - 000556032 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-03-18 03:06 - 2024-03-18 11:50 - 000597504 ___SH C:\ProgramData\winlogon.exe
2024-03-18 03:06 - 2024-03-18 11:50 - 000152064 ___SH C:\ProgramData\bycyslo5.exe
2024-03-18 03:06 - 2024-03-18 11:48 - 000597504 ___SH C:\Users\1\AppData\Roaming\winlogon.exe
2024-03-18 03:06 - 2023-11-14 18:19 - 000556032 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-03-18 10:52 - 2024-03-18 11:48 - 000152064 ___SH () C:\ProgramData\0zbtlxez.exe
2024-03-18 14:25 - 2024-03-18 14:25 - 000110592 ___SH () C:\ProgramData\4pp21jpa.exe
2024-03-18 03:06 - 2024-03-18 11:50 - 000152064 ___SH () C:\ProgramData\bycyslo5.exe
2024-03-18 14:30 - 2024-03-18 14:30 - 000110592 ___SH () C:\ProgramData\ecarcxbt.exe
2024-03-18 10:52 - 2024-03-18 11:50 - 000152064 ___SH () C:\ProgramData\fxoo0l2x.exe
2024-03-18 14:28 - 2024-03-18 14:28 - 000110592 ___SH () C:\ProgramData\hzvy5qmg.exe
2024-03-18 12:15 - 2024-03-18 12:15 - 000110592 ___SH () C:\ProgramData\ldcplztr.exe
2024-03-18 14:30 - 2024-03-18 14:30 - 000110592 ___SH () C:\ProgramData\oh3zl1su.exe
2024-03-18 10:51 - 2024-03-18 11:50 - 000152064 ___SH () C:\ProgramData\oj0w5xu5.exe
2024-03-18 14:28 - 2024-03-18 14:28 - 000110592 ___SH () C:\ProgramData\vqvvy0xe.exe
2024-03-18 03:06 - 2024-03-18 11:50 - 000597504 ___SH () C:\ProgramData\winlogon.exe
2024-03-18 12:15 - 2024-03-18 12:15 - 000110592 ___SH () C:\ProgramData\xj3i0mmn.exe
2024-03-18 14:25 - 2024-03-18 14:25 - 000110592 ___SH () C:\ProgramData\yuwjqaqv.exe
2024-03-18 03:07 - 2024-03-18 03:07 - 000000395 _____ () C:\Program Files\Restore-My-Files.txt
2024-03-18 03:06 - 2024-03-18 11:48 - 000597504 ___SH () C:\Users\1\AppData\Roaming\winlogon.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Далее,

необходимо пролечить систему с помощью загрузочного диска KRD

загрузиться с KRD и пролечить системный диск.

Далее, перегрузить систему в нормальный режим и сделать дополнительно  образ автозапуска

 

После проверки в KRD, сделайте образ автозапуска системы в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено 18 марта, 2024 пользователем safety