Перейти к содержанию

Зашифровали файлы panda2024@cock.lu

DJs3000
 Поделиться

Рекомендуемые сообщения

DJs3000

DJs3000

Опубликовано
Опубликовано

Здравствуйте. На сервере зашифровало все файлы. Предполагаю, что сбрутили пароль и по drp получили доступ. Пользовательские компьютеры не зашифрованы из чего делаю вывод, что вредоносное по попало напрямую на файловый сервер.

В архиве приложил 2 файла от FRST64, 2 файла оригинала и они же в зашифрованном виде. Так же в архиве файл с информацией о вымогателе. Прошу помощи в дешифраторе.

locker.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Этот файл сохраните, он необходим для расшифровки, если она станет возможной.

2024-07-08 11:35 - 2024-07-08 11:35 - 000003328 _____ C:\Windows\SysWOW64\Cpriv.BlackBit

 

Что у вас в папке здесь?

2024-07-07 07:13 - 2015-04-24 17:29 - 000000000 ____D C:\Decryptor

----------------------------

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и перезагрузит ее

  

Start::
(explorer.exe ->) (David Carpenter -> ) C:\Users\Otrs\Pictures\Everything.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Otrs\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-09 03:47 - 2024-07-09 03:47 - 000005915 _____ C:\Windows\SysWOW64\info.hta
2024-07-08 12:05 - 2024-07-08 12:05 - 000000386 _____ C:\Users\Otrs\AppData\Roaming\Restore-My-Files.txt
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH C:\ProgramData\xiwbzsx1.exe
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH C:\ProgramData\xiwbzsx1.exe
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH C:\ProgramData\xiwbzsx1.exe
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH C:\ProgramData\xiwbzsx1.exe
2024-07-08 11:22 - 2024-07-08 11:22 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-07-08 11:22 - 2024-07-08 11:22 - 000000085 _____ C:\Windows\brndlog.txt
2024-07-08 11:22 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-07-07 14:22 - 2024-07-09 03:47 - 000005915 _____ C:\info.hta
2024-07-07 07:50 - 2024-07-07 07:50 - 000110592 ___SH C:\ProgramData\dzr5t5p3.exe
2024-07-07 07:50 - 2024-07-07 07:50 - 000110592 ___SH C:\ProgramData\dzr5t5p3.exe
2024-07-07 07:16 - 2024-07-07 07:16 - 000000385 _____ C:\ProgramData\Restore-My-Files.txt
2024-07-07 07:16 - 2024-07-07 07:16 - 000000385 _____ C:\ProgramData\Restore-My-Files.txt
2024-07-07 07:15 - 2024-07-07 07:15 - 000000385 _____ C:\Program Files (x86)\Restore-My-Files.txt
2024-07-07 07:14 - 2024-07-07 07:14 - 000000385 _____ C:\Program Files\Restore-My-Files.txt
2024-07-07 07:10 - 2024-07-07 07:10 - 000110592 ___SH C:\ProgramData\ri0s2ij2.exe
2024-07-07 07:10 - 2024-07-07 07:10 - 000110592 ___SH C:\ProgramData\ri0s2ij2.exe
2024-07-07 07:10 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-07-07 07:10 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-07-07 07:10 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-07-07 07:50 - 2024-07-07 07:50 - 000110592 ___SH () C:\ProgramData\dzr5t5p3.exe
2024-07-07 07:10 - 2024-07-07 07:10 - 000110592 ___SH () C:\ProgramData\ri0s2ij2.exe
2024-07-07 07:10 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH () C:\ProgramData\xiwbzsx1.exe
2024-07-07 07:14 - 2024-07-07 07:14 - 000000385 _____ () C:\Program Files\Restore-My-Files.txt
2024-07-07 07:15 - 2024-07-07 07:15 - 000000385 _____ () C:\Program Files (x86)\Restore-My-Files.txt
End::

После перезагрузки системы:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
DJs3000

DJs3000

Опубликовано
  • Автор
Опубликовано

В личку отправил файлик Cpriv.BlackBit и папку Quarantine.

C:\Decryptor - тут дешифратор предыдущего подобного веселья, когда был получен дешифратор, так он много лет там и лежит.

Fixlog добавил.

Fixlog.txt

safety

safety

Опубликовано
Опубликовано (изменено)
4 минуты назад, PRB84 сказал:

Сегодня столкнулся с той же проблемой. Дайте знать, пожалуйста, если найдется решение.

Создайте  отдельную тему в данном разделе, если необходима помощь. 

Если интересует конечное решение по данному типу, следите за данным разделом.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Выполните скрипт очистки в FRST

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу FRST без перезагрузки.

  

Start::
2024-07-07 07:10 - 2024-07-08 11:23 - 000003166 _____ C:\Windows\system32\Tasks\BlackBit
Task: {DAB25A01-DFD6-40BE-8BF9-06702C8A9601} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
End::

Добавьте новый файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Изменено пользователем safety
DJs3000

DJs3000

Опубликовано
  • Автор
Опубликовано

Жаль, что не получиться помочь с дешифрированием, но спасибо за попытку.

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • PRB84
      Шифровальщик panda2024@cock.lu
      Автор PRB84
      Здравствуйте. Зашифровало все файлы на сервере и на некоторых рабочих компьютерах.
    • kemermax42
      Шифровальщик decryption@cock.lu
      Автор kemermax42
      Здравствуйте. Прошу помощи с шифровальщиком decryption@cock.lu
      Систему переставили, так как нужно было работать, файлы зашифрованные лежат на отдельном диске. 
      Подскажите что нужно отправить для помощи в расшифровке.
      Письмо вымогателя:
      >>>> Your data are encrypted ...
              All your files have been encrypted by Shuriken !!!
              
              To decrypt them send e-mail to this address : decryption@cock.lu
              
              If you do not receive a response within 24 hours, send an email to this address: decryption@cock.lu
              
              Need a quick decryption ? Send a telegram message @ShurikenAdmin
              
              
      >>>> Your DECRYPTION ID :  42*****
              Enter the ID of your files in the subject!
              
      >>>>  What is our decryption guarantee?
              Before paying you can send us up to 2 test files for free decryption !
              
              The total size of files must be less than 2Mb.(non archived) !
              
              Files should not contain valuable information.(databases,backups) !
              
              Compress the file with zip or 7zip or rar compression programs and send it to us!
      !!!Deleting "Cpriv.Shuriken" causes permanent data loss.
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
×
×
  • Создать...