lokilocker Поймали шифровальщик на сервере

13 июня, 2024

Добрый день. Помогите пожалуйста, есть ли возможность расшифровать. Шифровальщик вроде BlackBit. В корне диска С: лежали еще 2 файла (я так понимаю они важны):

Cpriv.BlackBit и Cpriv2.BlackBit - поместил их в отдельный архив, текст вымогальщика ниже:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: panda2024@cock.lu
In case of no answer in 24h, send e-mail to this address: panda2024@cock.lu
You can also contact us on Telegram: @Panda_decryptor
All your files will be lost on 11 июля 2024 г. 17:29:46.
Your SYSTEM ID : 46BC2737
!!!Deleting "Cpriv.BlackBit" causes permanent data loss.

Encrypted_files.zip FRST_LOGS.zip файлы_с_диска_С.zip

13 июня, 2024

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

Start::
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH C:\ProgramData\uweyse2b.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-06-13 09:01 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-06-11 17:54 - 2024-06-11 17:54 - 000005916 _____ C:\info.hta
2024-06-11 17:54 - 2024-06-11 17:54 - 000000381 _____ C:\ProgramData\Restore-My-Files.txt
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH C:\ProgramData\3rd3hakt.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Users\1S\AppData\Roaming\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH () C:\ProgramData\3rd3hakt.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH () C:\ProgramData\uweyse2b.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-06-13 09:01 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\Users\1S\AppData\Roaming\winlogon.exe
2024-06-11 17:29 - 2024-06-11 17:29 - 000110592 ___SH C:\ProgramData\3rd3hakt.exe
2024-06-13 09:01 - 2024-06-13 09:01 - 000110592 ___SH C:\ProgramData\uweyse2b.exe
2024-06-11 17:29 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
FirewallRules: [{73876078-6B8A-419F-A09F-A89A186E1731}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{7D5939CC-7118-49B9-B16A-FACB2C44755F}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{EA9C0C66-4B58-48C3-9B2B-5053A0DDE8C1}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
FirewallRules: [{31E33DA5-487D-4FE9-9F5F-C763905288BD}] => (Allow) C:\Program Files\NordVPN\NordVPN.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

+

далее,

+

создайте образ автозапуска системы с помощью uVS для проверки.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

14 июня, 2024

После данных манипуляций произошла перезагрузка сервера, файловая система слетела в RAW, была установлена новая система, но основные зашифрованные файлы остались на другом диске

14 июня, 2024

Перезагрузка произошла после очистки в FRST или в процессе создания образа автозапуска в uVS?

-------------

Quote

основные зашифрованные файлы остались на другом диске

С расшифровкой по данному типу шифровальщика не сможем помочь.

Изменено 14 июня, 2024 пользователем safety

lokilocker Поймали шифровальщик на сервере

Рекомендуемые сообщения

Akaruz

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Akaruz

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum