Перейти к содержанию

Шифровальщик blackbit, windows server 2012r2

serioussd
 Share Подписчики 0

Рекомендуемые сообщения

serioussd

serioussd 0

Опубликовано
Опубликовано (изменено)

Сервер поймал шифровальщик blackbit, прошу помощи в чистке сервера и возможной дешифровке файлов, пропали все программы, на сервере расположены базы 1с, postgresql  два файла.zipFixlog.txt   

WhatsApp Image 2024-09-10 at 09.44.44.jpeg

Изменено пользователем serioussd
отредактировал текст
Ссылка на сообщение
Поделиться на другие сайты
serioussd

serioussd 0

Опубликовано
  • Автор
Опубликовано

Addition.txtFRST.txt

 

fixlog.txt создался при выполнении скрипта, из другой статьи посмотрел и использовал, только потом понял, что так делать не стоило :facepalm:

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 117

Опубликовано
Опубликовано (изменено)

Эти файлы сохраните вместе с важными зашифрованными файлами. Они нужны для расшифровки, когда она станет возможной.

 

2024-09-09 23:39 - 2024-09-09 23:39 - 000003328 _____ C:\Users\backup\Documents\Cpriv.BlackBit
2024-09-09 23:39 - 2024-09-09 23:39 - 000003328 _____ C:\Users\backup\Desktop\Cpriv.BlackBit
2024-09-09 23:39 - 2024-09-09 23:39 - 000003328 _____ C:\ProgramData\Cpriv.BlackBit
2024-09-09 23:39 - 2024-09-09 23:39 - 000003328 _____ C:\Cpriv.BlackBit

 

В основном система очищена.

 

выполните в FRST такой скрипт очистки:

  

Start::
HKU\S-1-5-21-2892061509-171188934-2484080496-1055\...\Policies\system: [DisableTaskMgr] 1
2024-09-09 23:38 - 2024-09-09 23:38 - 000110592 ___SH () C:\ProgramData\frgsrul0.exe
End::

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
serioussd

serioussd 0

Опубликовано
  • Автор
Опубликовано

А как то можно сделать, чтобы хотя бы программы заработали?

 

И насколько понимаю бесполезно с этим бороться? Файлы не расшифровать?

 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 117

Опубликовано
Опубликовано (изменено)

Возможно, исполняемые программы были заражены дополнительно Neshta.

Надо пролечить систему с загрузочного диска

https://www.kaspersky.ru/downloads/free-rescue-disk

+

проверьте ЛС

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • kemermax42
      Шифровальщик decryption@cock.lu
      От kemermax42
      Здравствуйте. Прошу помощи с шифровальщиком decryption@cock.lu
      Систему переставили, так как нужно было работать, файлы зашифрованные лежат на отдельном диске. 
      Подскажите что нужно отправить для помощи в расшифровке.
      Письмо вымогателя:
      >>>> Your data are encrypted ...
              All your files have been encrypted by Shuriken !!!
              
              To decrypt them send e-mail to this address : decryption@cock.lu
              
              If you do not receive a response within 24 hours, send an email to this address: decryption@cock.lu
              
              Need a quick decryption ? Send a telegram message @ShurikenAdmin
              
              
      >>>> Your DECRYPTION ID :  42*****
              Enter the ID of your files in the subject!
              
      >>>>  What is our decryption guarantee?
              Before paying you can send us up to 2 test files for free decryption !
              
              The total size of files must be less than 2Mb.(non archived) !
              
              Files should not contain valuable information.(databases,backups) !
              
              Compress the file with zip or 7zip or rar compression programs and send it to us!
      !!!Deleting "Cpriv.Shuriken" causes permanent data loss.
    • Шевченко Максим
      Хапнули шифровальщика похоже через RDP, остался файл в корне диска *.hta
      От Шевченко Максим
      Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю  чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.
      FRST.txt Вирус.zip
    • Gupecology
      Вирус BlackBit
      От Gupecology
      Взломали сервер и зашифровали файлы. Требуют выкуп. Из за чего непонятно, возможно взломали через rdp.FRST.txtAddition.txtАрхив WinRAR.rar
    • PRB84
      Шифровальщик panda2024@cock.lu
      От PRB84
      Здравствуйте. Зашифровало все файлы на сервере и на некоторых рабочих компьютерах.
    • DJs3000
      Зашифровали файлы panda2024@cock.lu
      От DJs3000
      Здравствуйте. На сервере зашифровало все файлы. Предполагаю, что сбрутили пароль и по drp получили доступ. Пользовательские компьютеры не зашифрованы из чего делаю вывод, что вредоносное по попало напрямую на файловый сервер.
      В архиве приложил 2 файла от FRST64, 2 файла оригинала и они же в зашифрованном виде. Так же в архиве файл с информацией о вымогателе. Прошу помощи в дешифраторе.
      locker.7z
×
×
  • Создать...