Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

Поймали шифровальщик на сервере

Akaruz
 Поделиться

Рекомендуемые сообщения

Akaruz Новичок

Akaruz

Опубликовано
Опубликовано

Добрый день. Помогите пожалуйста, есть ли возможность расшифровать. Шифровальщик вроде BlackBit. В корне диска С: лежали еще 2 файла (я так понимаю они важны):

Cpriv.BlackBit и Cpriv2.BlackBit - поместил их в отдельный архив, текст вымогальщика ниже:

 

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: panda2024@cock.lu
In case of no answer in 24h, send e-mail to this address: panda2024@cock.lu
You can also contact us on Telegram: @Panda_decryptor
All your files will be lost on 11 июля 2024 г. 17:29:46.
Your SYSTEM ID : 46BC2737
!!!Deleting "Cpriv.BlackBit" causes permanent data loss.

Encrypted_files.zip FRST_LOGS.zip файлы_с_диска_С.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

  

Start::
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH C:\ProgramData\uweyse2b.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-06-13 09:01 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-06-11 17:54 - 2024-06-11 17:54 - 000005916 _____ C:\info.hta
2024-06-11 17:54 - 2024-06-11 17:54 - 000000381 _____ C:\ProgramData\Restore-My-Files.txt
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH C:\ProgramData\3rd3hakt.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Users\1S\AppData\Roaming\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH () C:\ProgramData\3rd3hakt.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH () C:\ProgramData\uweyse2b.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-06-13 09:01 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Users\1S\AppData\Roaming\winlogon.exe
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH C:\ProgramData\3rd3hakt.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH C:\ProgramData\uweyse2b.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
FirewallRules: [{73876078-6B8A-419F-A09F-A89A186E1731}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{7D5939CC-7118-49B9-B16A-FACB2C44755F}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{EA9C0C66-4B58-48C3-9B2B-5053A0DDE8C1}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{31E33DA5-487D-4FE9-9F5F-C763905288BD}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

+

далее,

+

создайте образ автозапуска системы с помощью uVS для проверки.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Ссылка на комментарий
Поделиться на другие сайты
Akaruz Новичок

Akaruz

Опубликовано
  • Автор
Опубликовано

После данных манипуляций произошла перезагрузка сервера, файловая система слетела в RAW, была установлена новая система, но основные зашифрованные файлы остались на другом диске

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Перезагрузка произошла после очистки в FRST или в процессе создания образа автозапуска в uVS?

-------------

Quote

основные зашифрованные файлы остались на другом диске

С расшифровкой по данному типу шифровальщика не сможем помочь.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • ViZorT
      Поймал шифровальщик blackpanther@mailum
      Автор ViZorT
      Поймали шифровальщик blackpanther@mailum.
      ОС не переустанавливалась.
      Прошу помощи.
      Файл шифровальщика, предположительно, удалось найти. Имеется архив с ним.
      Спасибо.
      Addition.txt Desktop.rar FRST.txt
    • Pristan
      Шифровальщик зашифровал сервера Window Server
      Автор Pristan
      Зашифровались почти все сервера на MS Windows server.
      Пример зашифрованных файлов, требования и логи во вложении.
       
      По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.
       
      Спасибо.
      Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt
×
×
  • Создать...