lokilocker Вирус BlackBit

[Gupecology]

Взломали сервер и зашифровали файлы. Требуют выкуп. Из за чего непонятно, возможно взломали через rdp.FRST.txtAddition.txtАрхив WinRAR.rar

[thyrex]

Шифровальщик до сих пор активен.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
If you want to restore them, write us to the e-mail: Decrypt.rz@zohomail.com
Write this ID in the title of your message: 98CFB1C7
In case of no answer in 24 hours write us to this e-mail: Decrypt.rz@zohomail.com
HKU\S-1-5-21-3151754468-174582957-590601683-5618\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\vda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-02-12] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\vda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-07-22] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-02-12] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Task: {06D18366-4EC1-49EC-9A86-28F890D3FAB1} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2024-07-22 16:12 - 2024-07-22 16:12 - 000110592 ___SH C:\ProgramData\wgp01hvm.exe
2024-07-22 16:12 - 2024-07-22 16:12 - 000110592 ___SH C:\ProgramData\kusxnlbl.exe
2024-07-22 09:29 - 2024-07-22 09:29 - 000110592 ___SH C:\ProgramData\w4z3fl4v.exe
2024-07-22 09:29 - 2024-07-22 09:29 - 000110592 ___SH C:\ProgramData\degz1c1k.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\trjkt4hu.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\rvxx1u3k.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\fuotdm03.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-07-22 09:04 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-07-20 08:23 - 2024-07-20 08:23 - 000110592 ___SH C:\ProgramData\bmnigjop.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Users\vda\AppData\Roaming\winlogon.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\ProgramData\winlogon.exe
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

[Gupecology]

2 часа назад, thyrex сказал:

Шифровальщик до сих пор активен.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
If you want to restore them, write us to the e-mail: Decrypt.rz@zohomail.com
Write this ID in the title of your message: 98CFB1C7
In case of no answer in 24 hours write us to this e-mail: Decrypt.rz@zohomail.com
HKU\S-1-5-21-3151754468-174582957-590601683-5618\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\vda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-02-12] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\vda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-07-22] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-02-12] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Task: {06D18366-4EC1-49EC-9A86-28F890D3FAB1} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2024-07-22 16:12 - 2024-07-22 16:12 - 000110592 ___SH C:\ProgramData\wgp01hvm.exe
2024-07-22 16:12 - 2024-07-22 16:12 - 000110592 ___SH C:\ProgramData\kusxnlbl.exe
2024-07-22 09:29 - 2024-07-22 09:29 - 000110592 ___SH C:\ProgramData\w4z3fl4v.exe
2024-07-22 09:29 - 2024-07-22 09:29 - 000110592 ___SH C:\ProgramData\degz1c1k.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\trjkt4hu.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\rvxx1u3k.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\fuotdm03.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-07-22 09:04 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-07-20 08:23 - 2024-07-20 08:23 - 000110592 ___SH C:\ProgramData\bmnigjop.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Users\vda\AppData\Roaming\winlogon.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\ProgramData\winlogon.exe
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

 

Fixlog.txt

 

Fixlog.txtЛоги второго виртуального сервера

[thyrex]

1 час назад, Gupecology сказал:

Логи второго виртуального сервера

это Вы о чем?

[Gupecology]

Сервера виртуальные, созданные на базе гипервизора vmvare. Серверов всего три windows server 2019 64b, windows server 2012 64b и windows server 2003 32b. Windows server 2003 не понимает этот скрипт. Может ли поддержка Kaspersky помочь обладателям лицензии?

[thyrex]

Вы пытались выполнить скрипт лечения на другом сервере? Я правильно понял?

[Gupecology]

Да, пытался, именно на windows server 2003 не увенчалось успехом. Использовал обе версии данной программы(32b, 64b) Farbar Recovery Scan Tool На остальных серверах лечение произошло успешно. Есть ли возможность расшифровать файлы?

12 часов назад, thyrex сказал:

Вы пытались выполнить скрипт лечения на другом сервере? Я правильно понял?

 

[thyrex]

Скрипты лечения пишутся индивидуально под каждую машину на основании логов с этой машины.

На windows server 2003 Farbar не работает.

 

30 минут назад, Gupecology сказал:

Есть ли возможность расшифровать файлы?

К сожалению, нет.

[Gupecology]

Можете пожалуйста написать скрипт для windows server 2003? Логи прилагаю

 

FRST.txtAddition.txtПрошу прощения, очень активный шифратор.

Изменено 23 июля, 2024 пользователем Gupecology

[thyrex]

32 минуты назад, Gupecology сказал:

Можете пожалуйста написать скрипт для windows server 2003?

я же написал, что на такой системе Farbar не запустится. На нем соберите логи CollectionLog по этим правилам.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
2024-07-23 10:45 - 2024-07-23 10:45 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\3wwvzus1.exe
2024-07-23 10:31 - 2024-07-23 10:31 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\gxt5ihe2.exe
2024-07-23 10:18 - 2024-07-23 10:18 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\w4v224ps.exe
2024-07-23 10:18 - 2024-02-12 22:23 - 000734174 ___SH (Microsoft) C:\WINDOWS\winlogon.exe
2024-07-22 18:47 - 2024-07-22 18:47 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\emwjxkbw.exe
2024-07-22 18:36 - 2024-07-22 18:36 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\dxdj5ehc.exe
2024-07-22 09:18 - 2024-07-22 09:18 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\wnqq0zff.exe
2024-07-22 08:51 - 2024-07-22 08:51 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\5qrxd0no.exe
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\vda\Application Data\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Мои документы\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Главное меню\Программы\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Главное меню\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Local Settings\Application Data\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Application Data\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Рабочий стол\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Главное меню\Программы\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Главное меню\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Application Data\Restore-My-Files.txt
2024-07-20 08:59 - 2024-07-23 10:47 - 000005926 _____ C:\Documents and Settings\All Users\Application Data\info.BlackBit
2024-07-20 08:59 - 2024-07-20 08:59 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\tztisyp4.exe
2024-07-20 08:59 - 2024-02-12 22:23 - 000734166 ___SH (Microsoft) C:\Documents and Settings\vda\Application Data\winlogon.exe
2024-07-20 08:59 - 2024-02-12 22:23 - 000734166 ___SH (Microsoft) C:\Documents and Settings\All Users\Application Data\winlogon.exe
2024-07-20 08:59 - 2024-02-12 22:23 - 000734166 _____ (Microsoft) C:\Documents and Settings\vda\Рабочий стол\Decrypt.rz@zohomail.com.exe
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
Startup: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Restore-My-Files.txt [2024-07-20] () [File not signed]
Startup: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\winlogon.exe [2024-02-12] (Microsoft) [File not signed] <==== ATTENTION
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

[Gupecology]

CollectionLog-2024.07.25-13.33.zip

 

[thyrex]

Скрытые файлы

Цитата

2024-07-23 15:38:43 ----SH---- C:\WINDOWS\winlogon.exe
2024-07-23 15:38:43 ----SH---- C:\Documents and Settings\All Users\Application Data\winlogon.exe
2024-07-23 15:38:37 ----SH---- C:\Documents and Settings\vda\Application Data\winlogon.exe
2024-07-23 15:00:26 ----SH---- C:\Documents and Settings\All Users\Application Data\fc4nb03c.exe

удалите вручную

 

Затем запустите AVZ, выберите Файл - Мастер поиска и устранения проблем - Все проблемы.

Отметьте и исправьте проблему Задано сообщение, выводимое в ходе загрузки.