Lockbit black Ransomware

**ilmirr** · 25.06.2024, 07:24

расширение 39S4uReb9
Lockbit black Ransomware

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.06.2024, 07:26

Уважаемый(ая) ilmirr, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 25.06.2024, 10:11

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\93d6.tmp');
 TerminateProcessByName('c:\users\ilmir\appdata\local\temp\rar$exa25124.11858\aкт сверки взаимных расчетов предприятия за период 1 марта - 24 июня 2024 года .exe');
 TerminateProcessByName('c:\users\ilmir\appdata\roaming\998333944.tmp.exe');
 TerminateProcessByName('c:\users\ilmir\appdata\roaming\sputnikupdater.exe');
 QuarantineFile('c:\programdata\93d6.tmp', '');
 QuarantineFile('c:\users\ilmir\appdata\local\temp\rar$exa25124.11858\aкт сверки взаимных расчетов предприятия за период 1 марта - 24 июня 2024 года .exe', '');
 QuarantineFile('c:\users\ilmir\appdata\roaming\998333944.tmp.exe', '');
 QuarantineFile('C:\Users\Ilmir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\39S4uReb9.README.txt', '');
 QuarantineFile('c:\users\ilmir\appdata\roaming\sputnikupdater.exe', '');
 DeleteFile('c:\program files (x86)\mobilebrserv\mbbservice.exe', '');
 DeleteFile('c:\programdata\93d6.tmp', '');
 DeleteFile('c:\users\ilmir\appdata\local\temp\rar$exa25124.11858\aкт сверки взаимных расчетов предприятия за период 1 марта - 24 июня 2024 года .exe', '');
 DeleteFile('C:\Users\Ilmir\AppData\Local\Temp\Rar$EXa25124.11858\Aкт сверки взаимных расчетов предприятия за период 1 марта - 24 июня 2024 года .exe', '32');
 DeleteFile('C:\Users\Ilmir\AppData\Local\Temp\Rar$EXa25124.11858\Aкт сверки взаимных расчетов предприятия за период 1 марта - 24 июня 2024 года .exe', '64');
 DeleteFile('c:\users\ilmir\appdata\roaming\998333944.tmp.exe', '');
 DeleteFile('C:\Users\Ilmir\AppData\Roaming\998333944.tmp.exe', '32');
 DeleteFile('C:\Users\Ilmir\AppData\Roaming\998333944.tmp.exe', '64');
 DeleteFile('c:\users\ilmir\appdata\roaming\sputnikupdater.exe', '');
 DeleteFile('C:\Users\Ilmir\AppData\Roaming\SputnikUpdater.exe', '64');
 DeleteDirectory('C:\Users\Ilmir\AppData\Local\Temp\Rar$EXa25124.11858');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '998333944.tmp', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '998333944.tmp', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BraveUpdater.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BraveUpdater.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 DeleteSchedulerTask('SputnikUpdater');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.

Упакуйте в архив записку о выкупе и пару зашифрованных файлов небольшого размера, прикрепите к следующему сообщению.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O15 - Trusted Zone: hxxp://localhost
O15 - Trusted Zone: hxxp://webcompanion.com

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**ilmirr** · 25.06.2024, 12:40

Файлы

**Vvvyg** · 25.06.2024, 15:36

Системный антивирус сами отключали?

**ilmirr** · 25.06.2024, 16:08

нет

**Vvvyg** · 25.06.2024, 17:11

Там, похоже, многие системные службы выкорчеваны, не только защитник. Можно попробовать восстановить, но не факт, что всё удастся.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
Systemrestore: On
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
HKU\S-1-5-21-3303034780-4038527110-2213390670-1001\...\Policies\Explorer: [] 
Virusscan: C:\ProgramData\AAC9.tmp
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CMD: SFC /scannow
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите.
Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены все пункты:
Internet Services
Windows Firewall
System Restore
Security Center/Action Center
Windows Update
Windows Defender
Other services

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему сообщению.

**ilmirr** · 26.06.2024, 06:37

Fixlog и FSS

Lockbit black Ransomware (заявка № 228618)

Опции темы