Перейти к содержанию

зашифровали сервер 1С

sduganov
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Эти файлы сохраните, они нужны будет если (или когда) дело дойдет до расшифровки данных

 

Цитата

2024-10-11 02:58 - 2024-10-11 02:58 - 000003328 _____ C:\Users\Администратор\Documents\Cpriv.BlackBit
2024-10-11 02:58 - 2024-10-11 02:58 - 000003328 _____ C:\Users\Администратор\Desktop\Cpriv.BlackBit
2024-10-11 02:58 - 2024-10-11 02:58 - 000003328 _____ C:\ProgramData\Cpriv.BlackBit
2024-10-11 02:58 - 2024-10-11 02:58 - 000003328 _____ C:\Cpriv.BlackBit

 

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-1531950568-2558906669-2299343042-500\Control Panel\Desktop\\Wallpaper -> C:\Users\Администратор\AppData\Local\Temp\2\0u0xzuoy.BlackBit
HKU\S-1-5-21-1531950568-2558906669-2299343042-1003\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-1531950568-2558906669-2299343042-1004\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-1531950568-2558906669-2299343042-1006\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-1531950568-2558906669-2299343042-1015\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-1531950568-2558906669-2299343042-500\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-10-11] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2024-10-11 02:59 - 2024-10-11 02:59 - 000005916 _____ C:\info.hta
2024-10-11 02:58 - 2024-10-11 02:58 - 000110592 ___SH C:\ProgramData\ajvfl52w.exe
2024-10-11 02:58 - 2024-10-11 02:58 - 000005916 _____ C:\ProgramData\info.BlackBit
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Users\Администратор\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Users\Администратор\Downloads\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Users\Администратор\Documents\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Users\Администратор\Desktop\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\ProgramData\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Program Files\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ C:\Program Files (x86)\Restore-My-Files.txt
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Users\Администратор\AppData\Roaming\winlogon.exe
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-10-11 02:58 - 2024-10-11 02:58 - 000110592 ___SH () C:\ProgramData\ajvfl52w.exe
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ () C:\Program Files\Restore-My-Files.txt
2024-10-11 02:58 - 2024-10-11 02:58 - 000000384 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2024-10-11 02:58 - 2024-04-03 20:14 - 000555520 ___SH (Microsoft) C:\Users\Администратор\AppData\Roaming\winlogon.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

по файлам: 

C:\ProgramData\ajvfl52w.exe

Runner.BD 

C:\ProgramData\winlogon.exe

Ransom.LokiLocker

+

проверьте ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • k.mishnev87
      Словил шифровальщик Loki Locker
      Автор k.mishnev87
      Все доброго времени суток. Для начала туп как пробка, и совсем не разбираюсь в вопросе.
      Не смотря на то что у меня стоить Касперский Премиум, я каким то чудом словил шифровальщик Loki Locker.
      В ПК у меня стояло 5 дисков + сетевой диск к которому с ПК был безконтрольный доступ. Эта зараза зашифровала абсолютно все. Мен спасло только то что был свежий бэкап важно по работе информации.
      Но как итог, отключил 4 диска, системный снес и поставил чистую винду, подключил несистемный ССД, снес полностью заново проинициализировал, создал том. 
      Восстановил.
      Осталось еще 3 HDD, два по 4ТБ и один на 2 ТБ. Вот их надо спасти и дешифровать, там слишком много полезной информации.
      Прикрепляю три зашифрованных файла и текст требование. На сайте касперского и крипто шериф искал - нету.
       
      Помогите пожалуйста.
      Loki.rar
    • Юрий_Колбин
      HEUR:Trojan-Ransom.win32.generic
      Автор Юрий_Колбин
      Desktop.zip
       
      Организация поймала шифровальщик.
      Каспер был благополучно остановлен и запущен kavremover.
      Расскажите о перспективах расшифровки.
      Пароль 12345
      Есть так-же образцы этой заразы, если поможет, могу выложить.
    • Avrora21
      Шифровальщик Loki locker Miracle11@keemail.me Miiracle11@yandex.com
      Автор Avrora21
      Здравствуйте! ПК поражен шифровальщиком Loki locker (Miracle11@keemail.me Miiracle11@yandex.com).
      Есть ли возможность расшифровать пораженные файлы?
      Прилагаю архив с зашифрованными файлами и запиской о выкупе.
      E.7z
    • Alexey_K
      Шифровальщик [wannayourdata@gmail.com].Loki
      Автор Alexey_K
      Добрый день. Поймали шифровальщика. Возможно ли как-то восстановить файлы?
      Addition.txt FRST.txt files.zip
    • ad_art
      Шифровальщик BlackBit
      Автор ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
×
×
  • Создать...