Шифровальщик локер

Printable View

19.01.2023, 23:02
matvens

Шифровальщик локер

Здравствуйте! Поймал шифровальщика BlackBit. Системные файлы не пострадали. Вирус удален, но возможно остались следы в системных каталогах, реестре и т.д. Прошу помочь очистить и защитить компьютер от повторной атаки.

Большая часть файлов восстановлена из бекапа, но к сожалению актуальность некоторых не устраивает. Подскажите, что можно предпринять для самостоятельного раскодирования (время не имеет значения) и есть ли шанс дождаться соответствующего декриптора?

Лог avz в архиве: [url]https://dropmefiles.com/qzXTS[/url]
19.01.2023, 23:05
Info_bot

Уважаемый(ая) [B]matvens[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
20.01.2023, 07:38
Vvvyg

Зачем так сложно, на файлообменник, да ещё и с паролем. По правилам нужно вложением.

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O22 - Tasks: (disabled) BlackBit - C:\Users\LINDA\AppData\Roaming\winlogon.exe (file missing)
O22 - Tasks: Avira_Security_Maintenance - C:\Program Files (x86)\Avira\Security\Avira.Spotlight.Service.Worker.exe CrashCollector (file missing)
O22 - Tasks: Avira_Security_Maintenance - C:\Program Files (x86)\Avira\Security\Avira.Spotlight.Service.Worker.exe FallbackTelemetry (file missing)
O22 - Tasks: Avira_Security_Maintenance - C:\Program Files (x86)\Avira\Security\Avira.Spotlight.Service.Worker.exe ServiceWatchdog (file missing)
O22 - Tasks: Avira_Security_Service_SCM_Watchdog - C:\Program Files (x86)\Avira\Security\Avira.Spotlight.Service.Worker.exe HandleServiceControlManagerEvent 7000 (file missing)
O22 - Tasks: MicrosoftEdgeUpdateTaskMachineCore - C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c (file missing)
O22 - Tasks: MicrosoftEdgeUpdateTaskMachineUA - C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler (file missing)[/code]
Скачайте, распакуйте и запустите [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight\Microsoft Silverlight.lnk" -> ["C:\Program Files (x86)\Microsoft Silverlight\4.0.60129.0\Silverlight.Configuration.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio Installer.lnk" -> ["C:\Program Files (x86)\Microsoft Visual Studio\Installer\setup.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QUIK_invest_palata\Инструкция по созданию и регистрации ключей.pdf.lnk" -> ["C:\QUIK_invest_palata\KeyGen\Инструкция по созданию и регистрации ключей.pdf"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio 2019.lnk" -> ["C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\Common7\IDE\devenv.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows App Certification Kit\Windows App Cert Kit.lnk" -> ["C:\Program Files (x86)\Windows Kits\10\App Certification Kit\appcertui.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Documentation for Desktop Apps.lnk" -> ["C:\Program Files (x86)\Windows Kits\10\Shortcuts\DesktopDevCenterLearn.url"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Samples for Desktop Apps.lnk" -> ["C:\Program Files (x86)\Windows Kits\10\Shortcuts\DesktopDevCenterSamples.url"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Tools for Desktop Apps.lnk" -> ["C:\Program Files (x86)\Windows Kits\10\Shortcuts\DesktopDevCenterToolsDocumentation.url"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Documentation for Windows Store Apps.lnk" -> ["C:\Program Files (x86)\Windows Kits\10\Shortcuts\WindowsStoreAppDevCenterLearn.url"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Samples for Windows Store Apps.lnk" -> ["C:\Program Files (x86)\Windows Kits\10\Shortcuts\WindowsStoreAppDevCenterSamples.url"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Tools for Windows Store Apps.lnk" -> ["C:\Program Files (x86)\Windows Kits\10\Shortcuts\WindowsStoreAppDevCenterToolsDocumentation.url"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Compile Script to .exe (x86).lnk" -> ["C:\Program Files (x86)\AutoIt3\Aut2Exe\Aut2exe.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Compile Script to .exe (x64).lnk" -> ["C:\Program Files (x86)\AutoIt3\Aut2Exe\Aut2exe_x64.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\SciTE Script Editor.lnk" -> ["C:\Program Files (x86)\AutoIt3\SciTE\SciTE.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Extras\AutoItX\AutoItX Help File.lnk" -> ["C:\Program Files (x86)\AutoIt3\AutoItX\AutoItX.chm"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Extras\AutoItX\VBScript Examples.lnk" -> ["C:\Program Files (x86)\AutoIt3\AutoItX\ActiveX\VBScript"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\SciTE\SciTE.lnk" -> ["C:\Program Files (x86)\AutoIt3\SciTE\SciTE.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\SciTE\Tidy.lnk" -> ["C:\Program Files (x86)\AutoIt3\SciTE\Tidy\Tidy.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\SciTE\GettingStarted.lnk" -> ["C:\Program Files (x86)\AutoIt3\SciTE\SciTE4AutoIt3.chm"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\SciTE\Switch-Definitions.lnk" -> ["C:\Program Files (x86)\AutoIt3\SciTE\defs\UpdateDefs.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\SciTE\Uninstall.lnk" -> ["C:\Program Files (x86)\AutoIt3\SciTE\uninst.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\SciTE\Website.lnk" -> ["C:\Program Files (x86)\AutoIt3\SciTE\SciTE4AutoIt3.url"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira\Avira.lnk" -> ["C:\Program Files (x86)\Avira\Security\Avira.Spotlight.UI.Application.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2020.lnk" -> ["D:\Program Files (x86)\Photoshope\Adobe Photoshop 2020\Photoshop.exe"][/CODE]Отчёт о работе прикрепите.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
20.01.2023, 10:25
matvens

Появилась учетка пользователя Admin1, которую я не создавал. Еще при открытии МойКомпьютер на рабочем столе создается папка без подписи (открыть ее не возможно). Логи прикрепил, Прошу прощения за ссылки, форма прикрепления у меня не работает. [url]https://dropmefiles.com/ikhGW[/url]
20.01.2023, 11:08
Vvvyg

[CODE]HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: D:\Program Files <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: C:\Program Files (x86) <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: C:\Program Files (x86)\Avira <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: D:\Program Files (x86) <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: E:\ThunderbirdPortable <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ[/CODE]Ограничения групповыми политиками на папки сами устанавливали?
20.01.2023, 11:13
matvens

[QUOTE=Vvvyg;1526679][CODE]HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: D:\Program Files <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: C:\Program Files (x86) <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: C:\Program Files (x86)\Avira <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: D:\Program Files (x86) <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: E:\ThunderbirdPortable <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ[/CODE]Ограничения групповыми политиками на папки сами устанавливали?[/QUOTE]

Да.
20.01.2023, 11:38
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKU\S-1-5-21-981651176-114711281-4224589849-1000\...\Run: [] => [X]
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
Task: {AB01028C-0ACD-42B9-BAE7-F25E2EC34AF6} - \KMSAuto -> Нет файла <==== ВНИМАНИЕ
S2 AviraSecurityUpdater; отсутствует ImagePath
S2 edgeupdate; отсутствует ImagePath
S3 edgeupdatem; отсутствует ImagePath
S2 gupdate; отсутствует ImagePath
S3 gupdatem; отсутствует ImagePath
Folder: c:\Users\Public\Desktop
Folder: C:\Users\LINDA\Desktop
StartBatch:
net user admin1 /DELETE
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Доступ из интернета по Winbox опасно открывать, могли взломать.
20.01.2023, 12:25
matvens

Логи во вложении. [url]https://dropmefiles.com/RLMcL[/url]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=Vvvyg;1526682]Доступ из интернета по Winbox опасно открывать, могли взломать.[/QUOTE]

Спасибо! Закрыл.
20.01.2023, 13:04
Vvvyg

[QUOTE]---------------------------- [ Antivirus_WMI ] ----------------------------
Avira Antivirus (включен и устарел)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Avira Antivirus (включен и устарел)[/QUOTE]Базы актуальные?

Не сразу заметил, что пользовательские папки перенесены на диск D:. Сделайте такое исправление в FRST (без перезагрузки):[CODE]Start::
Systemrestore: on
CreateRestorePoint:
Folder: D:\Desktop
End::[/CODE]Покажите новый Fixlog.txt.

[url="https://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.[/code]
В папке с AVZ появится архив [B]Events.7z[/B], загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
20.01.2023, 13:14
matvens

Логи во вложении. [url]https://dropmefiles.com/zBezw[/url]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=Vvvyg;1526684]Базы актуальные?[/QUOTE] Нет. Авира не обновляется, использую только ее эвристику.
20.01.2023, 13:57
Vvvyg

В событиях ничего интересного, т. к. после шифрования журналы очистили:[QUOTE]Имя журнала: System
Источник: Microsoft-Windows-Eventlog
Дата: 14.01.2023 2:37:47
Код события: 104
Категория задачи:Очистка журнала
Уровень: Сведения
Ключевые слова:
Пользователь: S-1-5-21-981651176-114711281-4224589849-1000
Компьютер: LINDA-PC
Описание:
Файл журнала microsoft-windows-RemoteDesktopServices-RemoteDesktopSessionManager/Admin очищен.

Имя журнала: System
Источник: Microsoft-Windows-Eventlog
Дата: 14.01.2023 2:37:47
Код события: 104
Категория задачи:Очистка журнала
Уровень: Сведения
Ключевые слова:
Пользователь: S-1-5-21-981651176-114711281-4224589849-1000
Компьютер: LINDA-PC
Описание:
Файл журнала Windows PowerShell очищен.

Имя журнала: System
Источник: Microsoft-Windows-Eventlog
Дата: 14.01.2023 2:37:47
Код события: 104
Категория задачи:Очистка журнала
Уровень: Сведения
Ключевые слова:
Пользователь: S-1-5-21-981651176-114711281-4224589849-1000
Компьютер: LINDA-PC
Описание:
Файл журнала System очищен.[/QUOTE]
То, что антивирус без баз используете, это неправильно.

Главный вопрос: как попал шифровальщик, подключились по RDP?
20.01.2023, 14:53
matvens

[QUOTE=Vvvyg;1526686]В событиях ничего интересного, т. к. после шифрования журналы очистили:
То, что антивирус без баз используете, это неправильно.

Главный вопрос: как попал шифровальщик, подключились по RDP?[/QUOTE]

История такая: Притащил сам пользователь через рекламу на каком-то сомнительно файлообменнике (летби или депозит - точной нет информации). Щелкнул по безобидному баннеру :?, открылось отдельное окно, закрыл буквально сразу не изучая контент. Этого было достаточно, чтобы загрузить троянца. Активизировался шифровальщик только через день, когда я на пару часов отключил файерволл (была необходимость). К сожалению, после отключения файервола, отошел от компьютера и отреагировал поздно, большая часть юзерских файлов "попала под раздачу". Сталкиваюсь первый раз, авира не среагировала (была отключена троянцем), в процессах ничего с ходу не заметил подозрительного, поэтому зашел в автозагрузку и планировщик и выключил все сомнительные процессы и задания, включил файервол. После перезагрузки шифрование прекратилось, авира среагировала на трояна. Далее провел несколько поисков утилитами от Касперского, Др.Веб, AVZ4 (было удалено окло 1500 подозрительных файлов, включая файлы в карантине авиры), чистил реестр по тегам "BlackBit" "locki". Дополнительно провел полную очистку реестра и системы вместе с жураналами. После обратился к вам.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

И еще интересный момент, вступил в переписку по мылу, указанному в требовании выкупа [email][email protected][/email]. Отвечают в течении суток, требуют $5000 :O (вот она настоящая цена резервной копии :D). Расшифровали один файл, который я им оправил. Для расшифровки просили файл с ключом на рабочем столе Cpriv.BlackBit

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Повторюсь, Большая часть файлов восстановлена из бекапа, но к сожалению актуальность некоторых не устраивает. У вас есть платная услуга по расшифровке - поможете?
20.01.2023, 15:07
Vvvyg

По всем почти актуальным шифровальщикам шансов на расшифровку нет. Асимметричное шифрование, большая длина ключа.
Иногда злодеи сами отходят от дел и выкладывают ключи расшифровки, иногда они попадают к правоохранительным органам.
Были редкие случаи раньше, когда из-за изъяна в реализации алгоритма можно было вычислить или сбрутфорсить ключ расшифровки за приемлемое время, сейчас таких ситуаций нет, не припомню, по крайней мере.

Пользователь должен работать с ограниченными правами, это правило, которое часто помогает.
20.01.2023, 15:15
matvens

Ясно. Спасибо Вам большое за помощь! Рекомендации по этой системе будут какие-то еще? Нужна переустановка?
20.01.2023, 15:31
Vvvyg

Решайте сами, по логам есть ощущение, что кое что из программ снесено некорректно.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
20.01.2023, 16:43
matvens

Спасибо большое за помощь!