ad_art Опубликовано 21 декабря, 2024 Поделиться Опубликовано 21 декабря, 2024 (изменено) Здравствуйте, требуется помощь в расшифровке файлов. Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации. First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z Изменено 21 декабря, 2024 пользователем ad_art Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 21 декабря, 2024 Поделиться Опубликовано 21 декабря, 2024 Выполните скрипт очистки системы в FRST Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer HKU\S-1-5-21-3010375954-1847709270-144726189-1001\...\Policies\system: [DisableTaskMgr] 1 Startup: C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-01-08] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ Startup: C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-12-21] () [Файл не подписан] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-01-08] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ Task: {1133A43D-FEB2-4E81-80E2-F108AD024B2B} - System32\Tasks\BlackBit => C:\Users\Boss\AppData\Roaming\winlogon.exe [556032 2024-01-08] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ 2024-12-21 16:11 - 2024-12-21 16:11 - 000005924 _____ C:\info.hta 2024-12-21 16:11 - 2024-12-21 16:11 - 000003190 _____ C:\Windows\system32\Tasks\BlackBit 2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Users\Public\Restore-My-Files.txt 2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Users\Public\Downloads\Restore-My-Files.txt 2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Users\Public\Documents\Restore-My-Files.txt 2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Users\Boss\Restore-My-Files.txt 2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Users\Boss\Downloads\Restore-My-Files.txt 2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Users\Boss\Documents\Restore-My-Files.txt 2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Restore-My-Files.txt 2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\ProgramData\Restore-My-Files.txt 2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Program Files\Restore-My-Files.txt 2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Program Files (x86)\Restore-My-Files.txt 2024-12-21 16:11 - 2024-01-08 23:55 - 000556032 ___SH (Microsoft) C:\Windows\winlogon.exe 2024-12-21 16:11 - 2024-01-08 23:55 - 000556032 ___SH (Microsoft) C:\Users\Boss\AppData\Roaming\winlogon.exe 2024-12-21 16:11 - 2024-01-08 23:55 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe 2024-12-21 16:01 - 2024-12-20 02:58 - 000110592 ____S C:\q2wb2j5d.exe 2024-12-21 16:11 - 2024-12-21 16:11 - 000110592 ___SH () C:\ProgramData\ak4iduo1.exe 2024-12-21 16:26 - 2024-12-21 16:26 - 000500645 _____ () C:\ProgramData\arh.7z.exe 2024-12-21 16:11 - 2024-12-21 16:11 - 000110592 ___SH () C:\ProgramData\pkrwduxn.exe 2024-12-21 16:11 - 2024-01-08 23:55 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe 2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ () C:\Program Files\Restore-My-Files.txt 2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ () C:\Program Files (x86)\Restore-My-Files.txt 2024-12-21 16:11 - 2024-01-08 23:55 - 000556032 ___SH (Microsoft) C:\Users\Boss\AppData\Roaming\winlogon.exe Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении. + новые логи FRST соберите для контроля очистки Ссылка на комментарий Поделиться на другие сайты Поделиться
ad_art Опубликовано 21 декабря, 2024 Автор Поделиться Опубликовано 21 декабря, 2024 Очистка выполнена https://disk.yandex.ru/d/0Z39aTnSdSa9bA Fixlog.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 21 декабря, 2024 Поделиться Опубликовано 21 декабря, 2024 С расшифровкой файлов по данному типу шифровальщика, к сожалению, не сможем помочь. Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной. Этот файл так же важен при расшифровке. 2024-12-21 16:11 - 2024-12-21 16:11 - 000003328 _____ C:\Cpriv.BlackBit Без него расшифровка будет невозможной. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти