Перейти к содержанию

Поймали шифровальщик на сервере

Akaruz
 Share

Рекомендуемые сообщения

Akaruz Новичок

Akaruz

Опубликовано
Опубликовано

Добрый день. Помогите пожалуйста, есть ли возможность расшифровать. Шифровальщик вроде BlackBit. В корне диска С: лежали еще 2 файла (я так понимаю они важны):

Cpriv.BlackBit и Cpriv2.BlackBit - поместил их в отдельный архив, текст вымогальщика ниже:

 

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: panda2024@cock.lu
In case of no answer in 24h, send e-mail to this address: panda2024@cock.lu
You can also contact us on Telegram: @Panda_decryptor
All your files will be lost on 11 июля 2024 г. 17:29:46.
Your SYSTEM ID : 46BC2737
!!!Deleting "Cpriv.BlackBit" causes permanent data loss.

Encrypted_files.zip FRST_LOGS.zip файлы_с_диска_С.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

  

Start::
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH C:\ProgramData\uweyse2b.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-06-13 09:01 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-06-11 17:54 - 2024-06-11 17:54 - 000005916 _____ C:\info.hta
2024-06-11 17:54 - 2024-06-11 17:54 - 000000381 _____ C:\ProgramData\Restore-My-Files.txt
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH C:\ProgramData\3rd3hakt.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Users\1S\AppData\Roaming\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH () C:\ProgramData\3rd3hakt.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH () C:\ProgramData\uweyse2b.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-06-13 09:01 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Users\1S\AppData\Roaming\winlogon.exe
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH C:\ProgramData\3rd3hakt.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH C:\ProgramData\uweyse2b.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
FirewallRules: [{73876078-6B8A-419F-A09F-A89A186E1731}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{7D5939CC-7118-49B9-B16A-FACB2C44755F}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{EA9C0C66-4B58-48C3-9B2B-5053A0DDE8C1}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{31E33DA5-487D-4FE9-9F5F-C763905288BD}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

+

далее,

+

создайте образ автозапуска системы с помощью uVS для проверки.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Ссылка на комментарий
Поделиться на другие сайты
Akaruz Новичок

Akaruz

Опубликовано
  • Автор
Опубликовано

После данных манипуляций произошла перезагрузка сервера, файловая система слетела в RAW, была установлена новая система, но основные зашифрованные файлы остались на другом диске

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Перезагрузка произошла после очистки в FRST или в процессе создания образа автозапуска в uVS?

-------------

Quote

основные зашифрованные файлы остались на другом диске

С расшифровкой по данному типу шифровальщика не сможем помочь.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • slot9543
      Поймали шифровальщика на сервер
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
    • chernikovd
      Поймали шифровальщика на несколько серверов
      От chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
    • umid
      Сервер поймал Щифровальщика
      От umid
      Добрый день!
      Поймали шифровальщика. Прошу помощи.
      Даже нет предположений откуда его схватили.
      Desktop.rar 1Desktop.rar
    • AndOrNot
      Поймал шифровальщик ooo4ps и Bitlocker
      От AndOrNot
      Сегодня с утра обнаружилось, что файлы документов на системном диске сервера 1С зашифрованы шифровальщиком. В папках содержится файл FILES_ENCRYPTED.txt, файлы имеют расширение .ooo4ps, локальный диск E:, на котором содержались базы 1С, заблокирован Bitlocker. USB диск, подключенный к серверу и содержавший Windows Backup, пустой. Судя по времени создания файлов, вредонос работал утром в субботу. Прошу помощи.
       
      ooo4ps.zip
    • Insaff
      Поймали Шифровальщика
      От Insaff
      Во всех расшареных папках зашифрованы файлы.
      Файлы имеют расширение ELPACO-team-***gCG***
      в некоторых папках лежит письмо с текстом
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by ELPACO-team
      Your decryption ID is *****QR14*ELPACO-team-gCG****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - el_kurva@tuta.io
      2) Telegram - @DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Написал я им на почту, пришел ответ, что надо заплатить 0,25 биткоина (получается около 1,5 млн)
      Есть ли Возможность у ко-нить за вознаграждение, чуть меньшее)) помочь с этим шифровальщиком.
       
       
      Молотки Можайск.pdf.zip
×
×
  • Создать...