Перейти к содержанию

Новый Blackbit, на почту и ТГ не отвечают. Очень прошу помощи!

Stillegoth
 Поделиться

Рекомендуемые сообщения

Stillegoth

Stillegoth

Опубликовано
Опубликовано

Друзья, прошу помощи! Кто-то словил заразу и вот такая оказия. Самая жесть, что ни на почту, ни на Телеграм не отвечают. Что можно сделать? Спасите! Во вложении зашифрованные файлы и письмо.

Договор АВАНТ ООО.pdf Restore-My-Files.txt ООО Компания Тензор лицензионный договор и договор купли-продажи № 88221....pdf

safety

safety

Опубликовано
Опубликовано

Зашифрованные файлы надо добавить с тем именем, которое было присвоено шифровальщиком.

Добавьте так же логи FRST

Stillegoth

Stillegoth

Опубликовано
  • Автор
Опубликовано

Добрый день!  Файлы такие и есть, логи добавлю. Спасибо.

 

2 часа назад, safety сказал:

Зашифрованные файлы надо добавить с тем именем, которое было присвоено шифровальщиком.

Добавьте так же логи FRST

Прилагаю два зашифрованных файла и логи.

Addition.txt FRST.txt Заявка 22-05-А.pdf Заявка 23-05-А.pdf

Вот еще файл Cpriv.BlackBit в архиве.

criv.zip

Еще удалось получить сам шифровальщик от мошенника. Запаковано в архив с паролем virus

svchost.zip

safety

safety

Опубликовано
Опубликовано (изменено)
9 часов назад, Stillegoth сказал:

Прилагаю два зашифрованных файла

В предыдущем сообщении было указано: имя зашифрованного файла не надо менять. Файлы (в таком виде: [fixmaster@tutamail.com][***CBDE]desktop.ini.BlackBit) добавить в архив без пароля и загрузить в ваше сообщение.

9 часов назад, Stillegoth сказал:

Еще удалось получить сам шифровальщик

это LokiLocker

----------

Выполните очистку системы в FRST:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
2024-11-13 11:55 - 2024-11-13 11:55 - 000110592 ___SH C:\ProgramData\o3pc31i4.exe
2024-11-13 11:55 - 2024-11-07 20:22 - 000558080 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-11-13 11:55 - 2023-12-10 02:11 - 000000004 _____ C:\ProgramData\config.BlackBit
2024-11-13 11:55 - 2024-11-07 20:22 - 000558080 ___SH (Microsoft) C:\Users\k.vil\AppData\Roaming\winlogon.exe
2024-11-13 11:55 - 2024-11-13 11:55 - 000110592 ___SH () C:\ProgramData\o3pc31i4.exe
2024-11-13 11:55 - 2024-11-07 20:22 - 000558080 ___SH (Microsoft) C:\ProgramData\winlogon.exe
End::

После завершения очистки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

+

проверьте ЛС

Изменено пользователем safety
Stillegoth

Stillegoth

Опубликовано
  • Автор
Опубликовано
6 часов назад, safety сказал:

В предыдущем сообщении было указано: имя зашифрованного файла не надо менять.

Добрый день! Папку отправил в ЛС, имена файлов не меняли - они такие и есть. Возможно, криво зашифровались?

safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, Stillegoth сказал:

Папку отправил в ЛС, имена файлов не меняли - они такие и есть. Возможно, криво зашифровались?

Возможно недошифрованы,  или дошифрованы, но не переименованы, но маркера PDF для файла

%PDF-1.3

вначале нет.

Имя должно было быть таким:

[fixmaster@tutamail.com][F096CBDE]Имя файла.BlackBit

 

Посмотрите, пожалуйста, что в этой папке.

Можно также заархивировать с паролем virus, загрузить на облачный диск, и дать ссылку в ЛС.

2024-11-13 11:54 - 2024-11-13 11:55 - 000000000 __SHD C:\Users\k.vil\Desktop\fixmaster

 

 

Изменено пользователем safety
Stillegoth

Stillegoth

Опубликовано
  • Автор
Опубликовано
23 минуты назад, safety сказал:

Возможно недошифрованы,  или дошифрованы, но не переименованы, но маркера PDF для файла

%PDF-1.3

Да, спасибо. А если попробовать на отдельной машине дошифровать?

safety

safety

Опубликовано
Опубликовано
24 минуты назад, Stillegoth сказал:

А если попробовать на отдельной машине дошифровать?

Это ничего не даст.

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Helsing13
      Прошу помощи с расшифровкой Trojan.Encoder.31074
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Роман Суслов
      Прошу помощи в восстановлении данных после шифровальщика KREMLIN
      Автор Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
    • Alexey82
      [РЕШЕНО] Прошу помощи с удалением Trojan:Win32/Kepavll!rfn
      Автор Alexey82
      Добрый день.
      Прошу помощи в удалении Trojan:Win32/Kepavll!rfn.
       
      Сработал стандартный Защитник Windows (Windows 10) Microsoft Defender.
      В папке ProgramData появилось много папок с названиями всех известных антивирусов, при попытке открыть страницы в браузере с упоминанием о удалении троянов - браузер закрывается.
      Прогнал CureIt, нашел угрозы, удалил не всё, лог приложил.
      Объясню сразу момент - приложение GPP Remote Service установлено мной лично для доступа к домашнему ноуту.
      Собственно все началось после того, как захотел ознакомиться с игрой Wizardum, как ни странно скачивал торрент отсюда (h__s://bуrutgаmе.оrg/41154-wizоrdum.htmI), в момент запуска установщика, на него выругался Microsoft Defender.
       
      Прошу помощи с удалением.
       
      Заранее спасибо откликнувшимся специалистам.
      CollectionLog-2025.06.27-06.20.zip cureit.rar
    • PsuchO
      Поймал шифровальщик X77C, лёг весь прод, слёзно прошу помощи
      Автор PsuchO
      Всем привет, намедне поймал шифровальщик X77C, эта скотина успела побить все файлы, до которых дотянулась.
      В итоге у всех файлов изменились имена tb73.8382_front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4, а оригинал вот tb73.8382_front.psd
      Плюсом к этому в каждой папке лежал тектовик со следующим описанием
       
      Открыл зашифрованный ps1 скрипт и вот что внутри
       
      Всё это на виртуалках на удалённом хосте, при этом странно, что сам хост не заразили, а вот виртуалки внутри него - заразили, как это вышло и почему, фиг знает.
      Поэтому подрубить проверяльщики через внешние USB и прочее не получится, как я понимаю. Буду рад любым советам и любой помощи.
      Прикладываю зашифрованный файл
      Front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4.zip
    • timson74
      Можно ли продлить подписку Kaspersky Standard с помощью карты с новой лицензией
      Автор timson74
      Добрый день. Имеется Kaspersky Standard на 3 устр., 21.21.7.384(а). Подписка действует до 1 сентября 2025г. Хочу заранее приобрести карту с новой лицензией Kaspersky Standard (3устр., 1год) для последующего продления подписки, т.к. имеющиеся на рынке предложения получаются дешевле, чем продление на сайте Касперского. Вопрос - можно ли вообще продлевать текущую подписку покупкой карты на НОВУЮ лицензию?
×
×
  • Создать...