lokilocker Зашифровали файлы panda2024@cock.lu

[DJs3000]

Здравствуйте. На сервере зашифровало все файлы. Предполагаю, что сбрутили пароль и по drp получили доступ. Пользовательские компьютеры не зашифрованы из чего делаю вывод, что вредоносное по попало напрямую на файловый сервер.

В архиве приложил 2 файла от FRST64, 2 файла оригинала и они же в зашифрованном виде. Так же в архиве файл с информацией о вымогателе. Прошу помощи в дешифраторе.

locker.7z

[safety]

Этот файл сохраните, он необходим для расшифровки, если она станет возможной.

2024-07-08 11:35 - 2024-07-08 11:35 - 000003328 _____ C:\Windows\SysWOW64\Cpriv.BlackBit

 

Что у вас в папке здесь?

2024-07-07 07:13 - 2015-04-24 17:29 - 000000000 ____D C:\Decryptor

----------------------------

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и перезагрузит ее

 

Start::
(explorer.exe ->) (David Carpenter -> ) C:\Users\Otrs\Pictures\Everything.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Otrs\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-09 03:47 - 2024-07-09 03:47 - 000005915 _____ C:\Windows\SysWOW64\info.hta
2024-07-08 12:05 - 2024-07-08 12:05 - 000000386 _____ C:\Users\Otrs\AppData\Roaming\Restore-My-Files.txt
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH C:\ProgramData\xiwbzsx1.exe
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH C:\ProgramData\xiwbzsx1.exe
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH C:\ProgramData\xiwbzsx1.exe
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH C:\ProgramData\xiwbzsx1.exe
2024-07-08 11:22 - 2024-07-08 11:22 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-07-08 11:22 - 2024-07-08 11:22 - 000000085 _____ C:\Windows\brndlog.txt
2024-07-08 11:22 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-07-07 14:22 - 2024-07-09 03:47 - 000005915 _____ C:\info.hta
2024-07-07 07:50 - 2024-07-07 07:50 - 000110592 ___SH C:\ProgramData\dzr5t5p3.exe
2024-07-07 07:50 - 2024-07-07 07:50 - 000110592 ___SH C:\ProgramData\dzr5t5p3.exe
2024-07-07 07:16 - 2024-07-07 07:16 - 000000385 _____ C:\ProgramData\Restore-My-Files.txt
2024-07-07 07:16 - 2024-07-07 07:16 - 000000385 _____ C:\ProgramData\Restore-My-Files.txt
2024-07-07 07:15 - 2024-07-07 07:15 - 000000385 _____ C:\Program Files (x86)\Restore-My-Files.txt
2024-07-07 07:14 - 2024-07-07 07:14 - 000000385 _____ C:\Program Files\Restore-My-Files.txt
2024-07-07 07:10 - 2024-07-07 07:10 - 000110592 ___SH C:\ProgramData\ri0s2ij2.exe
2024-07-07 07:10 - 2024-07-07 07:10 - 000110592 ___SH C:\ProgramData\ri0s2ij2.exe
2024-07-07 07:10 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-07-07 07:10 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-07-07 07:10 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-07-07 07:50 - 2024-07-07 07:50 - 000110592 ___SH () C:\ProgramData\dzr5t5p3.exe
2024-07-07 07:10 - 2024-07-07 07:10 - 000110592 ___SH () C:\ProgramData\ri0s2ij2.exe
2024-07-07 07:10 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH () C:\ProgramData\xiwbzsx1.exe
2024-07-07 07:14 - 2024-07-07 07:14 - 000000385 _____ () C:\Program Files\Restore-My-Files.txt
2024-07-07 07:15 - 2024-07-07 07:15 - 000000385 _____ () C:\Program Files (x86)\Restore-My-Files.txt
End::

После перезагрузки системы:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Изменено 22 июля пользователем safety

[DJs3000]

В личку отправил файлик Cpriv.BlackBit и папку Quarantine.

C:\Decryptor - тут дешифратор предыдущего подобного веселья, когда был получен дешифратор, так он много лет там и лежит.

Fixlog добавил.

Fixlog.txt

[safety]

4 минуты назад, PRB84 сказал:

Сегодня столкнулся с той же проблемой. Дайте знать, пожалуйста, если найдется решение.

Создайте  отдельную тему в данном разделе, если необходима помощь. 

Если интересует конечное решение по данному типу, следите за данным разделом.

Изменено 22 июля пользователем safety

[safety]

Выполните скрипт очистки в FRST

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу FRST без перезагрузки.

 

Start::
2024-07-07 07:10 - 2024-07-08 11:23 - 000003166 _____ C:\Windows\system32\Tasks\BlackBit
Task: {DAB25A01-DFD6-40BE-8BF9-06702C8A9601} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
End::

Добавьте новый файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Изменено 22 июля пользователем safety

[DJs3000]

Жаль, что не получиться помочь с дешифрированием, но спасибо за попытку.

Fixlog.txt