lokilocker Новый Blackbit, на почту и ТГ не отвечают. Очень прошу помощи!

[Stillegoth]

Друзья, прошу помощи! Кто-то словил заразу и вот такая оказия. Самая жесть, что ни на почту, ни на Телеграм не отвечают. Что можно сделать? Спасите! Во вложении зашифрованные файлы и письмо.

Договор АВАНТ ООО.pdf Restore-My-Files.txt ООО Компания Тензор лицензионный договор и договор купли-продажи № 88221....pdf

[safety]

Зашифрованные файлы надо добавить с тем именем, которое было присвоено шифровальщиком.

Добавьте так же логи FRST

[Stillegoth]

Добрый день!  Файлы такие и есть, логи добавлю. Спасибо.

 

2 часа назад, safety сказал:

Зашифрованные файлы надо добавить с тем именем, которое было присвоено шифровальщиком.

Добавьте так же логи FRST

Прилагаю два зашифрованных файла и логи.

Addition.txt FRST.txt Заявка 22-05-А.pdf Заявка 23-05-А.pdf

Вот еще файл Cpriv.BlackBit в архиве.

criv.zip

Еще удалось получить сам шифровальщик от мошенника. Запаковано в архив с паролем virus

svchost.zip

[safety]

9 часов назад, Stillegoth сказал:

Прилагаю два зашифрованных файла

В предыдущем сообщении было указано: имя зашифрованного файла не надо менять. Файлы (в таком виде: [fixmaster@tutamail.com][***CBDE]desktop.ini.BlackBit) добавить в архив без пароля и загрузить в ваше сообщение.

9 часов назад, Stillegoth сказал:

Еще удалось получить сам шифровальщик

это LokiLocker

----------

Выполните очистку системы в FRST:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
2024-11-13 11:55 - 2024-11-13 11:55 - 000110592 ___SH C:\ProgramData\o3pc31i4.exe
2024-11-13 11:55 - 2024-11-07 20:22 - 000558080 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-11-13 11:55 - 2023-12-10 02:11 - 000000004 _____ C:\ProgramData\config.BlackBit
2024-11-13 11:55 - 2024-11-07 20:22 - 000558080 ___SH (Microsoft) C:\Users\k.vil\AppData\Roaming\winlogon.exe
2024-11-13 11:55 - 2024-11-13 11:55 - 000110592 ___SH () C:\ProgramData\o3pc31i4.exe
2024-11-13 11:55 - 2024-11-07 20:22 - 000558080 ___SH (Microsoft) C:\ProgramData\winlogon.exe
End::

После завершения очистки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

+

проверьте ЛС

Изменено 15 ноября пользователем safety

[Stillegoth]

6 часов назад, safety сказал:

В предыдущем сообщении было указано: имя зашифрованного файла не надо менять.

Добрый день! Папку отправил в ЛС, имена файлов не меняли - они такие и есть. Возможно, криво зашифровались?

[safety]

1 час назад, Stillegoth сказал:

Папку отправил в ЛС, имена файлов не меняли - они такие и есть. Возможно, криво зашифровались?

Возможно недошифрованы,  или дошифрованы, но не переименованы, но маркера PDF для файла

%PDF-1.3

вначале нет.

Имя должно было быть таким:

[fixmaster@tutamail.com][F096CBDE]Имя файла.BlackBit

 

Посмотрите, пожалуйста, что в этой папке.

Можно также заархивировать с паролем virus, загрузить на облачный диск, и дать ссылку в ЛС.

2024-11-13 11:54 - 2024-11-13 11:55 - 000000000 __SHD C:\Users\k.vil\Desktop\fixmaster

 

 

Изменено 15 ноября пользователем safety

[Stillegoth]

23 минуты назад, safety сказал:

Возможно недошифрованы,  или дошифрованы, но не переименованы, но маркера PDF для файла

%PDF-1.3

Да, спасибо. А если попробовать на отдельной машине дошифровать?

[safety]

24 минуты назад, Stillegoth сказал:

А если попробовать на отдельной машине дошифровать?

Это ничего не даст.

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.