Перейти к содержанию

Шифровальщик widows server Loki locker

Andrey698
 Поделиться

Рекомендуемые сообщения

Andrey698

Andrey698

Опубликовано
Опубликовано

Добрый день, вчера во второй половине дня подключился через RDP к серверу и увидел голубой экран с сообщением что данные зашифрованы. Сервер перегрузил в безопасный режим, создал отчеты с помощью FRST.  Файлы прикрепляю, прошу содействия. 

Addition.txt FRST.txt Restore-My-Files.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Добавьте в архиве 2-3 зашифрованных документа, пожалуйста.

safety

safety

Опубликовано
Опубликовано

Эти файлы сохраните, они нужны для расшифровки файлов, если дойдет до этого

2025-12-08 14:54 - 2025-12-08 14:54 - 000003328 _____ C:\Users\Администратор\Documents\Cpriv.Loki
2025-12-08 14:54 - 2025-12-08 14:54 - 000003328 _____ C:\Users\Администратор\Desktop\Cpriv.Loki
2025-12-08 14:54 - 2025-12-08 14:54 - 000003328 _____ C:\ProgramData\Cpriv.Loki
2025-12-08 14:54 - 2025-12-08 14:54 - 000003328 _____ C:\Cpriv.Loki

2025-12-08 16:59 - 2025-12-08 16:59 - 000003328 _____ C:\ProgramData\Cpriv2.Loki
2025-12-08 16:59 - 2025-12-08 16:59 - 000003328 _____ C:\Cpriv2.Loki

----------

по очистке системы:

 

Выполните скрипт очистки в FRST (лучше из безопасного режима системы)

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by Loki locker
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2025-10-30] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2025-12-08] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2025-10-30] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 Netwtw10; \SystemRoot\System32\DriverStore\FileRepository\netwtw6e.inf_amd64_05bb65221939f713\Netwtw10.sys [X]
S3 vwifibus; \SystemRoot\System32\drivers\vwifibus.sys [X]
2025-12-08 16:59 - 2025-12-08 16:59 - 000029184 ___SH C:\ProgramData\iphzqipg.exe
2025-12-08 16:58 - 2025-12-08 16:58 - 000029184 ___SH C:\ProgramData\do4oqaox.exe
2025-12-08 16:58 - 2025-12-08 16:58 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2025-12-08 16:58 - 2025-10-30 15:32 - 000571904 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2025-12-08 15:11 - 2025-12-08 17:00 - 000006567 _____ C:\info.hta
2025-12-08 14:53 - 2025-12-08 14:53 - 000029184 ___SH C:\ProgramData\sw3dtzxv.exe
2025-12-08 14:53 - 2025-10-30 15:32 - 000571904 ___SH (Microsoft) C:\Windows\winlogon.exe
2025-12-08 14:53 - 2025-10-30 15:32 - 000571904 ___SH (Microsoft) C:\Users\Администратор\AppData\Roaming\winlogon.exe
2025-12-08 14:53 - 2025-10-30 15:32 - 000571904 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2025-12-08 16:58 - 2025-12-08 16:58 - 000029184 ___SH () C:\ProgramData\do4oqaox.exe
2025-12-08 16:59 - 2025-12-08 16:59 - 000029184 ___SH () C:\ProgramData\iphzqipg.exe
2025-12-08 14:53 - 2025-12-08 14:53 - 000029184 ___SH () C:\ProgramData\sw3dtzxv.exe
2025-12-08 14:53 - 2025-10-30 15:32 - 000571904 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2025-12-08 14:53 - 2025-10-30 15:32 - 000571904 ___SH (Microsoft) C:\Users\Администратор\AppData\Roaming\winlogon.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

safety

safety

Опубликовано
Опубликовано

Система очищена успешно, указанные файлы сохраните у себя, без них вам даже злоумышленники не смогут помочь с расшифровкой.

+

проверьте ЛС.

safety

safety

Опубликовано
Опубликовано

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Andrey698

Andrey698

Опубликовано
  • Автор
Опубликовано

Спасибо! Жаль что пока не получается восстановить файлы. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • davidas199
      help me
      Автор davidas199
      possible?

    • enke
      Шифровальщик Loki
      Автор enke
      Уважаемые коллеги, добрый день!
      Взломали терминальный сервер (ориентировочно 12-13 декабря), снесли штатный антивирус (DrWeb) и запустили вирус шифровальщик.
      После этого уже 15 декабря сервер был недоступен, приходится грузится сторонними утилитами (LiveCD). Коллеги из DrWeb помочь не смогли...
      Прикладываю архив с 2-мя зашифрованными файлами, текстом о выкупе и лог работы программы Farbar Recovery Scan Tool.
      Буду крайне признателен за любую обнадеживающую информацию. Была зашифрована крайне важная база 1С (бэкапа увы нет...)
       
      С уважением, Дмитрий.
      222.zip
    • Forza Александр
      Шифровальщик BlackBit
      Автор Forza Александр
      Добрый день, сегодня зашифровали комп, 2 диска по 500 ГБ. в Архиве FRST 



      Blackbit.zip
    • SimTor
      ПК зашифрован Loki Locker через rdp.
      Автор SimTor
      Addition.txtRestore-My-Files.txtfile.zipFRST.txt
      Добрый день!
      Уехал в поездку, оставил для работы себе удалёнку по рдп. Взломали, хотя пароль был более-менее надёжный. В УЗ войти невозможно, cmd в средствах восстановления не открыть, пришлось через Strelec загружаться, через редактор реестра прописывать в загрузку cmd и запускать FRST. Также, в реестре нашёл ключи full и public, если это поможет - пришлю.
      Не нашёл, что это запрещено правилами форума, так что готов платить специалистам, но не мошенникам.
      Насколько понял, таймер висит до 31.10, если помощь займёт дольше - хотелось бы его продлить сначала.

      Если восстановить без участия мошенников нереально - так и напишите, я посёрфил, встречал разные мнения.
    • B1ack_Viking
      Есть кто сталкивался с шифровальщиком BlackBit? Кто-то сможет помочь с расшифровкой?
      Автор B1ack_Viking
      Никакой вводной информации как это случилось и почему - нет, к сожалению..
      [Decrypt.rz@zohomail.com][C85BF26C]1С_Архив(1).xml.7z
×
×
  • Создать...