lokilocker Шифровальщик BlackBit

20 октября

Добрый день, сегодня зашифровали комп, 2 диска по 500 ГБ. в Архиве FRST

20 октября

Лог FRST бесполезен из данного режима. Нет никакой инфо по автозапуску.

Сделайте логи из безопасного режима системы + добавьте несколько зашифрованных файлов в архиве без пароля.

20 октября

2 часа назад, safety сказал:

Лог FRST бесполезен из данного режима. Нет никакой инфо по автозапуску.

Сделайте логи из безопасного режима системы + добавьте несколько зашифрованных файлов в архиве без пароля.

Оно (шифровальщик) заражает флешки, даже в безопасном режиме - FRST пока делается - файлы на выходе шифруются и в тхт файлах сразу иероглифы написаны

Подскажите алгоритм как это сделать безопасно для других устройств?

Интернет теоретически могу раздать на заражённый компьютер через модем с сим картой (изолированно от всего)

20 октября

В таком случае, пролечите систему с загрузочного диска KRD

После завершения лечения, сделайте новые логи FRST из нормального режима.

20 октября

1 час назад, safety сказал:

Лог FRST бесполезен из данного режима. Нет никакой инфо по автозапуску.

Сделайте логи из безопасного режима системы + добавьте несколько зашифрованных файлов в архиве без пароля.

Addition.txt Desktop.rar FRST.txt

20 октября

Сэмпл был заражен вирусом Neshta

2025-10-19 19:46 - 2025-10-19 23:33 - 000041472 _____ C:\Windows\svchost.com

Систему необходимо вначале пролечить из под загрузочного диска. Ссылку я вам оставил выше.

Цитата

В таком случае, пролечите систему с загрузочного диска KRD

После завершения лечения, сделайте новые логи FRST из нормального режима.

21 октября

После очистки системы в KRD

выполните скрипт очистки в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-4121906057-2542359201-3101286874-500\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2025-10-19] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2025-10-19] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2025-10-19] () [Файл не подписан] <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-10-19 23:27 - 2025-10-19 23:28 - 000596992 ___SH C:\Users\Администратор\AppData\Roaming\winlogon.exe
2025-10-19 23:27 - 2025-10-19 23:28 - 000152064 ___SH C:\ProgramData\bt15bpqu.exe
2025-10-19 23:27 - 2025-10-19 23:27 - 000005931 _____ C:\Windows\SysWOW64\info.hta
2025-10-19 19:46 - 2025-10-19 23:33 - 000041472 _____ C:\Windows\svchost.com
HKLM\...\exefile\shell\open\command: C:\Users\Администратор\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
2025-10-19 19:07 - 2025-10-19 23:27 - 000005931 _____ C:\info.hta
2025-10-19 19:03 - 2025-10-19 19:03 - 000596992 ___SH C:\Windows\winlogon.exe
2025-10-19 19:03 - 2025-10-19 19:03 - 000596992 ___SH C:\ProgramData\winlogon.exe
2025-10-19 19:03 - 2025-10-19 19:03 - 000152064 ___SH C:\ProgramData\gapgxu4n.exe
2025-10-19 23:27 - 2025-10-19 23:28 - 000152064 ___SH () C:\ProgramData\bt15bpqu.exe
2025-10-19 19:03 - 2025-10-19 19:03 - 000152064 ___SH () C:\ProgramData\gapgxu4n.exe
2025-10-19 19:03 - 2025-10-19 19:03 - 000596992 ___SH () C:\ProgramData\winlogon.exe
2025-10-19 19:04 - 2025-10-19 19:04 - 000000344 _____ () C:\Program Files\Restore-My-Files.txt
2025-10-19 19:04 - 2025-10-19 19:04 - 000000344 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2025-10-19 23:27 - 2025-10-19 23:28 - 000596992 ___SH () C:\Users\Администратор\AppData\Roaming\winlogon.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 21 октября пользователем safety

21 октября

6 часов назад, safety сказал:

После очистки системы в KRD

выполните скрипт очистки в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-4121906057-2542359201-3101286874-500\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2025-10-19] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2025-10-19] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2025-10-19] () [Файл не подписан] <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-10-19 23:27 - 2025-10-19 23:28 - 000596992 ___SH C:\Users\Администратор\AppData\Roaming\winlogon.exe
2025-10-19 23:27 - 2025-10-19 23:28 - 000152064 ___SH C:\ProgramData\bt15bpqu.exe
2025-10-19 23:27 - 2025-10-19 23:27 - 000005931 _____ C:\Windows\SysWOW64\info.hta
2025-10-19 19:46 - 2025-10-19 23:33 - 000041472 _____ C:\Windows\svchost.com
HKLM\...\exefile\shell\open\command: C:\Users\Администратор\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
2025-10-19 19:07 - 2025-10-19 23:27 - 000005931 _____ C:\info.hta
2025-10-19 19:03 - 2025-10-19 19:03 - 000596992 ___SH C:\Windows\winlogon.exe
2025-10-19 19:03 - 2025-10-19 19:03 - 000596992 ___SH C:\ProgramData\winlogon.exe
2025-10-19 19:03 - 2025-10-19 19:03 - 000152064 ___SH C:\ProgramData\gapgxu4n.exe
2025-10-19 23:27 - 2025-10-19 23:28 - 000152064 ___SH () C:\ProgramData\bt15bpqu.exe
2025-10-19 19:03 - 2025-10-19 19:03 - 000152064 ___SH () C:\ProgramData\gapgxu4n.exe
2025-10-19 19:03 - 2025-10-19 19:03 - 000596992 ___SH () C:\ProgramData\winlogon.exe
2025-10-19 19:04 - 2025-10-19 19:04 - 000000344 _____ () C:\Program Files\Restore-My-Files.txt
2025-10-19 19:04 - 2025-10-19 19:04 - 000000344 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2025-10-19 23:27 - 2025-10-19 23:28 - 000596992 ___SH () C:\Users\Администратор\AppData\Roaming\winlogon.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

https://disk.360.yandex.ru/d/1vPRh4sqlxJL3w

21 октября

По файлам:

winlogon.exe

ESET-NOD32 A Variant Of MSIL/Filecoder.LokiLocker.D

Kaspersky Trojan-Ransom.MSIL.Loki.v

https://www.virustotal.com/gui/file/7a86e19f0477900de8a592604ff908093d32f68378d878b20db94fc7350701f5

По расшифровке файлов.

По LokiLocker расшифровка файлов возможно только при наличие приватного ключа, которого у нас нет.

Как избежать новых ситуаций с шифрованием:

Общие рекомендации:

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

21 октября

Расшифровать мои файлы не представляется никакой возможности? возможно ли предоставить вам ПК для расшифровки и тд ?

22 октября

У нас нет такой возможности - расшифровать ваши файлы без приватного ключа.

Если необходим дополнительный анализ системы по причинам проникновения на ваше устройство - напишите здесь.

Изменено 22 октября пользователем safety

22 октября

11 часов назад, safety сказал:

У нас нет такой возможности - расшифровать ваши файлы без приватного ключа.

Если необходим дополнительный анализ системы по причинам проникновения на ваше устройство - напишите здесь.

Да, хотелось бы выявить причины почему это произошло, вы возможно не прикрепили ссылку "напишите здесь"

22 октября

Проверьте ЛС.

lokilocker Шифровальщик BlackBit

Рекомендуемые сообщения

Forza Александр

safety

Forza Александр

safety

Forza Александр

safety

safety

Forza Александр

safety

Forza Александр

safety

Forza Александр

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum