Перейти к содержанию

Зашифровали файлы panda2024@cock.lu


Рекомендуемые сообщения

Здравствуйте. На сервере зашифровало все файлы. Предполагаю, что сбрутили пароль и по drp получили доступ. Пользовательские компьютеры не зашифрованы из чего делаю вывод, что вредоносное по попало напрямую на файловый сервер.

В архиве приложил 2 файла от FRST64, 2 файла оригинала и они же в зашифрованном виде. Так же в архиве файл с информацией о вымогателе. Прошу помощи в дешифраторе.

locker.7z

Ссылка на комментарий
Поделиться на другие сайты

Этот файл сохраните, он необходим для расшифровки, если она станет возможной.

2024-07-08 11:35 - 2024-07-08 11:35 - 000003328 _____ C:\Windows\SysWOW64\Cpriv.BlackBit

 

Что у вас в папке здесь?

2024-07-07 07:13 - 2015-04-24 17:29 - 000000000 ____D C:\Decryptor

----------------------------

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и перезагрузит ее

 

Start::
(explorer.exe ->) (David Carpenter -> ) C:\Users\Otrs\Pictures\Everything.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Otrs\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-09 03:47 - 2024-07-09 03:47 - 000005915 _____ C:\Windows\SysWOW64\info.hta
2024-07-08 12:05 - 2024-07-08 12:05 - 000000386 _____ C:\Users\Otrs\AppData\Roaming\Restore-My-Files.txt
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH C:\ProgramData\xiwbzsx1.exe
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH C:\ProgramData\xiwbzsx1.exe
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH C:\ProgramData\xiwbzsx1.exe
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH C:\ProgramData\xiwbzsx1.exe
2024-07-08 11:22 - 2024-07-08 11:22 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-07-08 11:22 - 2024-07-08 11:22 - 000000085 _____ C:\Windows\brndlog.txt
2024-07-08 11:22 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-07-07 14:22 - 2024-07-09 03:47 - 000005915 _____ C:\info.hta
2024-07-07 07:50 - 2024-07-07 07:50 - 000110592 ___SH C:\ProgramData\dzr5t5p3.exe
2024-07-07 07:50 - 2024-07-07 07:50 - 000110592 ___SH C:\ProgramData\dzr5t5p3.exe
2024-07-07 07:16 - 2024-07-07 07:16 - 000000385 _____ C:\ProgramData\Restore-My-Files.txt
2024-07-07 07:16 - 2024-07-07 07:16 - 000000385 _____ C:\ProgramData\Restore-My-Files.txt
2024-07-07 07:15 - 2024-07-07 07:15 - 000000385 _____ C:\Program Files (x86)\Restore-My-Files.txt
2024-07-07 07:14 - 2024-07-07 07:14 - 000000385 _____ C:\Program Files\Restore-My-Files.txt
2024-07-07 07:10 - 2024-07-07 07:10 - 000110592 ___SH C:\ProgramData\ri0s2ij2.exe
2024-07-07 07:10 - 2024-07-07 07:10 - 000110592 ___SH C:\ProgramData\ri0s2ij2.exe
2024-07-07 07:10 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-07-07 07:10 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-07-07 07:10 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-07-07 07:50 - 2024-07-07 07:50 - 000110592 ___SH () C:\ProgramData\dzr5t5p3.exe
2024-07-07 07:10 - 2024-07-07 07:10 - 000110592 ___SH () C:\ProgramData\ri0s2ij2.exe
2024-07-07 07:10 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-07-08 11:29 - 2024-07-08 11:29 - 000110592 ___SH () C:\ProgramData\xiwbzsx1.exe
2024-07-07 07:14 - 2024-07-07 07:14 - 000000385 _____ () C:\Program Files\Restore-My-Files.txt
2024-07-07 07:15 - 2024-07-07 07:15 - 000000385 _____ () C:\Program Files (x86)\Restore-My-Files.txt
End::

После перезагрузки системы:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

В личку отправил файлик Cpriv.BlackBit и папку Quarantine.

C:\Decryptor - тут дешифратор предыдущего подобного веселья, когда был получен дешифратор, так он много лет там и лежит.

Fixlog добавил.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, PRB84 сказал:

Сегодня столкнулся с той же проблемой. Дайте знать, пожалуйста, если найдется решение.

Создайте  отдельную тему в данном разделе, если необходима помощь. 

Если интересует конечное решение по данному типу, следите за данным разделом.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт очистки в FRST

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу FRST без перезагрузки.

 

Start::
2024-07-07 07:10 - 2024-07-08 11:23 - 000003166 _____ C:\Windows\system32\Tasks\BlackBit
Task: {DAB25A01-DFD6-40BE-8BF9-06702C8A9601} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
End::

Добавьте новый файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kemermax42
      От kemermax42
      Здравствуйте. Прошу помощи с шифровальщиком decryption@cock.lu
      Систему переставили, так как нужно было работать, файлы зашифрованные лежат на отдельном диске. 
      Подскажите что нужно отправить для помощи в расшифровке.
      Письмо вымогателя:
      >>>> Your data are encrypted ...
              All your files have been encrypted by Shuriken !!!
              
              To decrypt them send e-mail to this address : decryption@cock.lu
              
              If you do not receive a response within 24 hours, send an email to this address: decryption@cock.lu
              
              Need a quick decryption ? Send a telegram message @ShurikenAdmin
              
              
      >>>> Your DECRYPTION ID :  42*****
              Enter the ID of your files in the subject!
              
      >>>>  What is our decryption guarantee?
              Before paying you can send us up to 2 test files for free decryption !
              
              The total size of files must be less than 2Mb.(non archived) !
              
              Files should not contain valuable information.(databases,backups) !
              
              Compress the file with zip or 7zip or rar compression programs and send it to us!
      !!!Deleting "Cpriv.Shuriken" causes permanent data loss.
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
×
×
  • Создать...