Перейти к содержанию

ПК зашифрован Loki Locker через rdp.

SimTor
 Поделиться

Рекомендуемые сообщения

SimTor

SimTor

Опубликовано
Опубликовано

Addition.txtRestore-My-Files.txtfile.zipFRST.txt

Добрый день!
Уехал в поездку, оставил для работы себе удалёнку по рдп. Взломали, хотя пароль был более-менее надёжный. В УЗ войти невозможно, cmd в средствах восстановления не открыть, пришлось через Strelec загружаться, через редактор реестра прописывать в загрузку cmd и запускать FRST. Также, в реестре нашёл ключи full и public, если это поможет - пришлю.
Не нашёл, что это запрещено правилами форума, так что готов платить специалистам, но не мошенникам. :)
Насколько понял, таймер висит до 31.10, если помощь займёт дольше - хотелось бы его продлить сначала.

Если восстановить без участия мошенников нереально - так и напишите, я посёрфил, встречал разные мнения.

SimTor

SimTor

Опубликовано
  • Автор
Опубликовано

Надо было искать по форуму просто...
Что ж, подожду Sandor-а, видимо, и поплачу о не восстановляемых файлах...

 

И вопрос, если я найду копию зашифрованного файла, но расшифрованную - это может помочь достать ключ?

safety

safety

Опубликовано
Опубликовано

Эти файлы сохраните, они необходимы при расшифровке файлов, в том случае если у вас будет дешифратор, или приватный ключ.

Цитата

2025-10-01 11:43 - 2025-10-01 11:43 - 000006565 _____ C:\ProgramData\info.Loki
2025-10-01 11:43 - 2025-10-01 11:43 - 000003328 _____ C:\Users\Admin\Documents\Cpriv.Loki
2025-10-01 11:43 - 2025-10-01 11:43 - 000003328 _____ C:\Users\Admin\Desktop\Cpriv.Loki
2025-10-01 11:43 - 2025-10-01 11:43 - 000003328 _____ C:\ProgramData\Cpriv.Loki
2025-10-01 11:43 - 2025-10-01 11:43 - 000003328 _____ C:\Cpriv.Loki

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2025-09-11] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2025-09-11] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {E2680847-54B1-4024-9BA6-621A5AE2D395} - System32\Tasks\Loki => C:\Users\Admin\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2025-10-01 11:43 - 2025-09-11 12:16 - 000532480 ___SH (Microsoft) C:\Windows\winlogon.exe
S2 AxAutoMntSrv; D:\Soft\Alcohol 120\AxAutoMntSrv.exe [X]
S2 AxVirtualAHCISrv; D:\Soft\Alcohol 120\AxAHCIServiceEx.exe [X]
S2 StarWindServiceAE; D:\Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X]
U4 dcpsvc; отсутствует ImagePath
U4 DiagTrack; отсутствует ImagePath
S3 R0FanControl; \??\E:\Soft\FanControl\FanControl.sys [X]
2025-10-01 11:51 - 2025-10-01 11:51 - 000006565 _____ C:\info.hta
2025-10-01 11:43 - 2025-10-01 11:43 - 000003166 _____ C:\Windows\system32\Tasks\Loki
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

  • Like (+1) 1
SimTor

SimTor

Опубликовано
  • Автор
Опубликовано
2 часа назад, safety сказал:

Эти файлы сохраните, они необходимы при расшифровке файлов, в том случае если у вас будет дешифратор, или приватный ключ.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2025-09-11] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2025-09-11] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {E2680847-54B1-4024-9BA6-621A5AE2D395} - System32\Tasks\Loki => C:\Users\Admin\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2025-10-01 11:43 - 2025-09-11 12:16 - 000532480 ___SH (Microsoft) C:\Windows\winlogon.exe
S2 AxAutoMntSrv; D:\Soft\Alcohol 120\AxAutoMntSrv.exe [X]
S2 AxVirtualAHCISrv; D:\Soft\Alcohol 120\AxAHCIServiceEx.exe [X]
S2 StarWindServiceAE; D:\Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X]
U4 dcpsvc; отсутствует ImagePath
U4 DiagTrack; отсутствует ImagePath
S3 R0FanControl; \??\E:\Soft\FanControl\FanControl.sys [X]
2025-10-01 11:51 - 2025-10-01 11:51 - 000006565 _____ C:\info.hta
2025-10-01 11:43 - 2025-10-01 11:43 - 000003166 _____ C:\Windows\system32\Tasks\Loki
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.



Кажется, не хватает скрипта, либо я слепой.
И уж извините за глупый вопрос, но шифрованные файлы ведь не удалятся, только сам вирус?

safety

safety

Опубликовано
Опубликовано

Это все скрипт.

image.png

необходимо выделить, как блок, все строки, включая Start:: и заканчивая End:: и скопировать в буфер обмена.

Зашифрованные файлы не будут затронуты при очистке системы.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • davidas199
      help me
      Автор davidas199
      possible?

    • enke
      Шифровальщик Loki
      Автор enke
      Уважаемые коллеги, добрый день!
      Взломали терминальный сервер (ориентировочно 12-13 декабря), снесли штатный антивирус (DrWeb) и запустили вирус шифровальщик.
      После этого уже 15 декабря сервер был недоступен, приходится грузится сторонними утилитами (LiveCD). Коллеги из DrWeb помочь не смогли...
      Прикладываю архив с 2-мя зашифрованными файлами, текстом о выкупе и лог работы программы Farbar Recovery Scan Tool.
      Буду крайне признателен за любую обнадеживающую информацию. Была зашифрована крайне важная база 1С (бэкапа увы нет...)
       
      С уважением, Дмитрий.
      222.zip
    • Andrey698
      Шифровальщик widows server Loki locker
      Автор Andrey698
      Добрый день, вчера во второй половине дня подключился через RDP к серверу и увидел голубой экран с сообщением что данные зашифрованы. Сервер перегрузил в безопасный режим, создал отчеты с помощью FRST.  Файлы прикрепляю, прошу содействия. 
      Addition.txt FRST.txt Restore-My-Files.txt
    • Forza Александр
      Шифровальщик BlackBit
      Автор Forza Александр
      Добрый день, сегодня зашифровали комп, 2 диска по 500 ГБ. в Архиве FRST 



      Blackbit.zip
    • B1ack_Viking
      Есть кто сталкивался с шифровальщиком BlackBit? Кто-то сможет помочь с расшифровкой?
      Автор B1ack_Viking
      Никакой вводной информации как это случилось и почему - нет, к сожалению..
      [Decrypt.rz@zohomail.com][C85BF26C]1С_Архив(1).xml.7z
×
×
  • Создать...