Перейти к содержанию

Рекомендуемые сообщения

Шифровальщик до сих пор активен.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
If you want to restore them, write us to the e-mail: Decrypt.rz@zohomail.com
Write this ID in the title of your message: 98CFB1C7
In case of no answer in 24 hours write us to this e-mail: Decrypt.rz@zohomail.com
HKU\S-1-5-21-3151754468-174582957-590601683-5618\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\vda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-02-12] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\vda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-07-22] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-02-12] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Task: {06D18366-4EC1-49EC-9A86-28F890D3FAB1} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2024-07-22 16:12 - 2024-07-22 16:12 - 000110592 ___SH C:\ProgramData\wgp01hvm.exe
2024-07-22 16:12 - 2024-07-22 16:12 - 000110592 ___SH C:\ProgramData\kusxnlbl.exe
2024-07-22 09:29 - 2024-07-22 09:29 - 000110592 ___SH C:\ProgramData\w4z3fl4v.exe
2024-07-22 09:29 - 2024-07-22 09:29 - 000110592 ___SH C:\ProgramData\degz1c1k.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\trjkt4hu.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\rvxx1u3k.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\fuotdm03.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-07-22 09:04 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-07-20 08:23 - 2024-07-20 08:23 - 000110592 ___SH C:\ProgramData\bmnigjop.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Users\vda\AppData\Roaming\winlogon.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\ProgramData\winlogon.exe
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, thyrex сказал:

Шифровальщик до сих пор активен.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)


Start::
CreateRestorePoint:
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
If you want to restore them, write us to the e-mail: Decrypt.rz@zohomail.com
Write this ID in the title of your message: 98CFB1C7
In case of no answer in 24 hours write us to this e-mail: Decrypt.rz@zohomail.com
HKU\S-1-5-21-3151754468-174582957-590601683-5618\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\vda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-02-12] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\vda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-07-22] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-02-12] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Task: {06D18366-4EC1-49EC-9A86-28F890D3FAB1} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2024-07-22 16:12 - 2024-07-22 16:12 - 000110592 ___SH C:\ProgramData\wgp01hvm.exe
2024-07-22 16:12 - 2024-07-22 16:12 - 000110592 ___SH C:\ProgramData\kusxnlbl.exe
2024-07-22 09:29 - 2024-07-22 09:29 - 000110592 ___SH C:\ProgramData\w4z3fl4v.exe
2024-07-22 09:29 - 2024-07-22 09:29 - 000110592 ___SH C:\ProgramData\degz1c1k.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\trjkt4hu.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\rvxx1u3k.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\fuotdm03.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-07-22 09:04 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-07-20 08:23 - 2024-07-20 08:23 - 000110592 ___SH C:\ProgramData\bmnigjop.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Users\vda\AppData\Roaming\winlogon.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\ProgramData\winlogon.exe
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

 

Fixlog.txt

 

Fixlog.txtЛоги второго виртуального сервера

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Gupecology сказал:

Логи второго виртуального сервера

это Вы о чем?

Ссылка на сообщение
Поделиться на другие сайты

Сервера виртуальные, созданные на базе гипервизора vmvare. Серверов всего три windows server 2019 64b, windows server 2012 64b и windows server 2003 32b. Windows server 2003 не понимает этот скрипт. Может ли поддержка Kaspersky помочь обладателям лицензии?

Ссылка на сообщение
Поделиться на другие сайты

Вы пытались выполнить скрипт лечения на другом сервере? Я правильно понял?

Ссылка на сообщение
Поделиться на другие сайты

Да, пытался, именно на windows server 2003 не увенчалось успехом. Использовал обе версии данной программы(32b, 64b) Farbar Recovery Scan Tool На остальных серверах лечение произошло успешно. Есть ли возможность расшифровать файлы?

12 часов назад, thyrex сказал:

Вы пытались выполнить скрипт лечения на другом сервере? Я правильно понял?

 

Ссылка на сообщение
Поделиться на другие сайты

Скрипты лечения пишутся индивидуально под каждую машину на основании логов с этой машины.

На windows server 2003 Farbar не работает.

 

30 минут назад, Gupecology сказал:

Есть ли возможность расшифровать файлы?

К сожалению, нет.

Ссылка на сообщение
Поделиться на другие сайты

Можете пожалуйста написать скрипт для windows server 2003? Логи прилагаю

 

FRST.txtAddition.txtПрошу прощения, очень активный шифратор.

Изменено пользователем Gupecology
Ссылка на сообщение
Поделиться на другие сайты
32 минуты назад, Gupecology сказал:

Можете пожалуйста написать скрипт для windows server 2003?

я же написал, что на такой системе Farbar не запустится. На нем соберите логи CollectionLog по этим правилам.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
2024-07-23 10:45 - 2024-07-23 10:45 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\3wwvzus1.exe
2024-07-23 10:31 - 2024-07-23 10:31 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\gxt5ihe2.exe
2024-07-23 10:18 - 2024-07-23 10:18 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\w4v224ps.exe
2024-07-23 10:18 - 2024-02-12 22:23 - 000734174 ___SH (Microsoft) C:\WINDOWS\winlogon.exe
2024-07-22 18:47 - 2024-07-22 18:47 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\emwjxkbw.exe
2024-07-22 18:36 - 2024-07-22 18:36 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\dxdj5ehc.exe
2024-07-22 09:18 - 2024-07-22 09:18 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\wnqq0zff.exe
2024-07-22 08:51 - 2024-07-22 08:51 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\5qrxd0no.exe
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\vda\Application Data\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Мои документы\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Главное меню\Программы\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Главное меню\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Local Settings\Application Data\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Application Data\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Рабочий стол\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Главное меню\Программы\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Главное меню\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Application Data\Restore-My-Files.txt
2024-07-20 08:59 - 2024-07-23 10:47 - 000005926 _____ C:\Documents and Settings\All Users\Application Data\info.BlackBit
2024-07-20 08:59 - 2024-07-20 08:59 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\tztisyp4.exe
2024-07-20 08:59 - 2024-02-12 22:23 - 000734166 ___SH (Microsoft) C:\Documents and Settings\vda\Application Data\winlogon.exe
2024-07-20 08:59 - 2024-02-12 22:23 - 000734166 ___SH (Microsoft) C:\Documents and Settings\All Users\Application Data\winlogon.exe
2024-07-20 08:59 - 2024-02-12 22:23 - 000734166 _____ (Microsoft) C:\Documents and Settings\vda\Рабочий стол\Decrypt.rz@zohomail.com.exe
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
Startup: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Restore-My-Files.txt [2024-07-20] () [File not signed]
Startup: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\winlogon.exe [2024-02-12] (Microsoft) [File not signed] <==== ATTENTION
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
Ссылка на сообщение
Поделиться на другие сайты

Скрытые файлы

Цитата

2024-07-23 15:38:43 ----SH---- C:\WINDOWS\winlogon.exe
2024-07-23 15:38:43 ----SH---- C:\Documents and Settings\All Users\Application Data\winlogon.exe
2024-07-23 15:38:37 ----SH---- C:\Documents and Settings\vda\Application Data\winlogon.exe
2024-07-23 15:00:26 ----SH---- C:\Documents and Settings\All Users\Application Data\fc4nb03c.exe

удалите вручную

 

Затем запустите AVZ, выберите Файл - Мастер поиска и устранения проблем - Все проблемы.

Отметьте и исправьте проблему Задано сообщение, выводимое в ходе загрузки.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sduganov
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • kemermax42
      От kemermax42
      Здравствуйте. Прошу помощи с шифровальщиком decryption@cock.lu
      Систему переставили, так как нужно было работать, файлы зашифрованные лежат на отдельном диске. 
      Подскажите что нужно отправить для помощи в расшифровке.
      Письмо вымогателя:
      >>>> Your data are encrypted ...
              All your files have been encrypted by Shuriken !!!
              
              To decrypt them send e-mail to this address : decryption@cock.lu
              
              If you do not receive a response within 24 hours, send an email to this address: decryption@cock.lu
              
              Need a quick decryption ? Send a telegram message @ShurikenAdmin
              
              
      >>>> Your DECRYPTION ID :  42*****
              Enter the ID of your files in the subject!
              
      >>>>  What is our decryption guarantee?
              Before paying you can send us up to 2 test files for free decryption !
              
              The total size of files must be less than 2Mb.(non archived) !
              
              Files should not contain valuable information.(databases,backups) !
              
              Compress the file with zip or 7zip or rar compression programs and send it to us!
      !!!Deleting "Cpriv.Shuriken" causes permanent data loss.
    • serioussd
      От serioussd
      Сервер поймал шифровальщик blackbit, прошу помощи в чистке сервера и возможной дешифровке файлов, пропали все программы, на сервере расположены базы 1с, postgresql  два файла.zipFixlog.txt   

    • Шевченко Максим
      От Шевченко Максим
      Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю  чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.
      FRST.txt Вирус.zip
    • PRB84
      От PRB84
      Здравствуйте. Зашифровало все файлы на сервере и на некоторых рабочих компьютерах.
×
×
  • Создать...