Перейти к содержанию

Поймали шифровальщик на сервере

Akaruz
 Share

Рекомендуемые сообщения

Akaruz Новичок

Akaruz

Опубликовано
Опубликовано

Добрый день. Помогите пожалуйста, есть ли возможность расшифровать. Шифровальщик вроде BlackBit. В корне диска С: лежали еще 2 файла (я так понимаю они важны):

Cpriv.BlackBit и Cpriv2.BlackBit - поместил их в отдельный архив, текст вымогальщика ниже:

 

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: panda2024@cock.lu
In case of no answer in 24h, send e-mail to this address: panda2024@cock.lu
You can also contact us on Telegram: @Panda_decryptor
All your files will be lost on 11 июля 2024 г. 17:29:46.
Your SYSTEM ID : 46BC2737
!!!Deleting "Cpriv.BlackBit" causes permanent data loss.

Encrypted_files.zip FRST_LOGS.zip файлы_с_диска_С.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

  

Start::
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH C:\ProgramData\uweyse2b.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-06-13 09:01 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-06-11 17:54 - 2024-06-11 17:54 - 000005916 _____ C:\info.hta
2024-06-11 17:54 - 2024-06-11 17:54 - 000000381 _____ C:\ProgramData\Restore-My-Files.txt
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH C:\ProgramData\3rd3hakt.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Users\1S\AppData\Roaming\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH () C:\ProgramData\3rd3hakt.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH () C:\ProgramData\uweyse2b.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-06-13 09:01 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Users\1S\AppData\Roaming\winlogon.exe
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH C:\ProgramData\3rd3hakt.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH C:\ProgramData\uweyse2b.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
FirewallRules: [{73876078-6B8A-419F-A09F-A89A186E1731}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{7D5939CC-7118-49B9-B16A-FACB2C44755F}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{EA9C0C66-4B58-48C3-9B2B-5053A0DDE8C1}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{31E33DA5-487D-4FE9-9F5F-C763905288BD}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

+

далее,

+

создайте образ автозапуска системы с помощью uVS для проверки.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Ссылка на комментарий
Поделиться на другие сайты
Akaruz Новичок

Akaruz

Опубликовано
  • Автор
Опубликовано

После данных манипуляций произошла перезагрузка сервера, файловая система слетела в RAW, была установлена новая система, но основные зашифрованные файлы остались на другом диске

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Перезагрузка произошла после очистки в FRST или в процессе создания образа автозапуска в uVS?

-------------

Quote

основные зашифрованные файлы остались на другом диске

С расшифровкой по данному типу шифровальщика не сможем помочь.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • LeraB
      Поймали шифровальщика на несколько серверов
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • foroven
      Шифровальщик ooo4ps зашифровал сервер.
      От foroven
      Добрый день. Столкнулись с шифровальщиком. Заражение по-видимому произошло ещё в субботу 22.02.2025 около 19 часов вечера. Зашифрованы документы и базы. 
      Mega.7z
    • luzifi
      шифровальщик инок на сервере
      От luzifi
      windows server 2019 standart 1809  зашифровано все. помогите с решением проблемы
       
      log.rar innok.rar
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • Shade_art
      Поймали шифровальщик. platishilidrochish@fear.pw
      От Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
×
×
  • Создать...