Перейти к содержанию

Рекомендуемые сообщения

Добрый день. Помогите пожалуйста, есть ли возможность расшифровать. Шифровальщик вроде BlackBit. В корне диска С: лежали еще 2 файла (я так понимаю они важны):

Cpriv.BlackBit и Cpriv2.BlackBit - поместил их в отдельный архив, текст вымогальщика ниже:

 

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: panda2024@cock.lu
In case of no answer in 24h, send e-mail to this address: panda2024@cock.lu
You can also contact us on Telegram: @Panda_decryptor
All your files will be lost on 11 июля 2024 г. 17:29:46.
Your SYSTEM ID : 46BC2737
!!!Deleting "Cpriv.BlackBit" causes permanent data loss.

Encrypted_files.zip FRST_LOGS.zip файлы_с_диска_С.zip

Ссылка на сообщение
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH C:\ProgramData\uweyse2b.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-06-13 09:01 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-06-11 17:54 - 2024-06-11 17:54 - 000005916 _____ C:\info.hta
2024-06-11 17:54 - 2024-06-11 17:54 - 000000381 _____ C:\ProgramData\Restore-My-Files.txt
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH C:\ProgramData\3rd3hakt.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Users\1S\AppData\Roaming\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH () C:\ProgramData\3rd3hakt.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH () C:\ProgramData\uweyse2b.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-06-13 09:01 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Users\1S\AppData\Roaming\winlogon.exe
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH C:\ProgramData\3rd3hakt.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH C:\ProgramData\uweyse2b.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
FirewallRules: [{73876078-6B8A-419F-A09F-A89A186E1731}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{7D5939CC-7118-49B9-B16A-FACB2C44755F}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{EA9C0C66-4B58-48C3-9B2B-5053A0DDE8C1}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{31E33DA5-487D-4FE9-9F5F-C763905288BD}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

+

далее,

+

создайте образ автозапуска системы с помощью uVS для проверки.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Ссылка на сообщение
Поделиться на другие сайты

После данных манипуляций произошла перезагрузка сервера, файловая система слетела в RAW, была установлена новая система, но основные зашифрованные файлы остались на другом диске

Ссылка на сообщение
Поделиться на другие сайты

Перезагрузка произошла после очистки в FRST или в процессе создания образа автозапуска в uVS?

-------------

Quote

основные зашифрованные файлы остались на другом диске

С расшифровкой по данному типу шифровальщика не сможем помочь.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Gupecology
      От Gupecology
      Взломали сервер и зашифровали файлы. Требуют выкуп. Из за чего непонятно, возможно взломали через rdp.FRST.txtAddition.txtАрхив WinRAR.rar
    • PRB84
      От PRB84
      Здравствуйте. Зашифровало все файлы на сервере и на некоторых рабочих компьютерах.
    • DJs3000
      От DJs3000
      Здравствуйте. На сервере зашифровало все файлы. Предполагаю, что сбрутили пароль и по drp получили доступ. Пользовательские компьютеры не зашифрованы из чего делаю вывод, что вредоносное по попало напрямую на файловый сервер.
      В архиве приложил 2 файла от FRST64, 2 файла оригинала и они же в зашифрованном виде. Так же в архиве файл с информацией о вымогателе. Прошу помощи в дешифраторе.
      locker.7z
    • Андрей E.
    • Grig
      От Grig
      Не очень добрый день
      сегодня с утра перестало работать несколько служб. Обнаружили на серверах файлы Cpriv.BlackBit. Серверы были выключены. Файлы зашифрованные пока выслать не могу. Подскажите как правильно действовать далее.
×
×
  • Создать...