lokilocker Шифровальщик BlackBit

21 декабря, 2024

Здравствуйте, требуется помощь в расшифровке файлов.

Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.

First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z

Изменено 21 декабря, 2024 пользователем ad_art

21 декабря, 2024

Выполните скрипт очистки системы в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-3010375954-1847709270-144726189-1001\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-01-08] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-12-21] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-01-08] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Task: {1133A43D-FEB2-4E81-80E2-F108AD024B2B} - System32\Tasks\BlackBit => C:\Users\Boss\AppData\Roaming\winlogon.exe [556032 2024-01-08] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
2024-12-21 16:11 - 2024-12-21 16:11 - 000005924 _____ C:\info.hta
2024-12-21 16:11 - 2024-12-21 16:11 - 000003190 _____ C:\Windows\system32\Tasks\BlackBit
2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Users\Public\Restore-My-Files.txt
2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Users\Public\Downloads\Restore-My-Files.txt
2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Users\Public\Documents\Restore-My-Files.txt
2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Users\Boss\Restore-My-Files.txt
2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Users\Boss\Downloads\Restore-My-Files.txt
2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Users\Boss\Documents\Restore-My-Files.txt
2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Restore-My-Files.txt
2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\ProgramData\Restore-My-Files.txt
2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Program Files\Restore-My-Files.txt
2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ C:\Program Files (x86)\Restore-My-Files.txt
2024-12-21 16:11 - 2024-01-08 23:55 - 000556032 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-12-21 16:11 - 2024-01-08 23:55 - 000556032 ___SH (Microsoft) C:\Users\Boss\AppData\Roaming\winlogon.exe
2024-12-21 16:11 - 2024-01-08 23:55 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-12-21 16:01 - 2024-12-20 02:58 - 000110592 ____S C:\q2wb2j5d.exe
2024-12-21 16:11 - 2024-12-21 16:11 - 000110592 ___SH () C:\ProgramData\ak4iduo1.exe
2024-12-21 16:26 - 2024-12-21 16:26 - 000500645 _____ () C:\ProgramData\arh.7z.exe
2024-12-21 16:11 - 2024-12-21 16:11 - 000110592 ___SH () C:\ProgramData\pkrwduxn.exe
2024-12-21 16:11 - 2024-01-08 23:55 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ () C:\Program Files\Restore-My-Files.txt
2024-12-21 16:11 - 2024-12-21 16:11 - 000000388 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2024-12-21 16:11 - 2024-01-08 23:55 - 000556032 ___SH (Microsoft) C:\Users\Boss\AppData\Roaming\winlogon.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

+ новые логи FRST соберите для контроля очистки

21 декабря, 2024

Очистка выполнена

https://disk.yandex.ru/d/0Z39aTnSdSa9bA

Fixlog.txt

21 декабря, 2024

С расшифровкой файлов по данному типу шифровальщика, к сожалению, не сможем помочь.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Этот файл так же важен при расшифровке.

2024-12-21 16:11 - 2024-12-21 16:11 - 000003328 _____ C:\Cpriv.BlackBit

Без него расшифровка будет невозможной.

lokilocker Шифровальщик BlackBit

Рекомендуемые сообщения

ad_art

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

ad_art

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum