Файлы зашифрованы вирусом blackbit

**vv_p** · 10.10.2022, 00:46

Несколько ПК и сетевых массивов, находящихся в одной локальной сети, были зашифрованы вирусом blackbit. Есть ли какой-то шанс восстановить информацию?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.10.2022, 00:52

Уважаемый(ая) vv_p, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Sandor** · 10.10.2022, 10:16

Здравствуйте!

Тип вымогателя LokiLocker. К сожалению, расшифровки нет.

Программу

Process Hacker 2.39 (r124)

ставили самостоятельно?

"Пофиксите" в HijackThis только:

Код:

O22 - Tasks: (disabled) Restart - C:\Users\Администратор\Desktop\shutdown.bat (file missing)
O22 - Tasks: {DFC38277-69DF-4F22-8B10-C838233AC57F} - D:\Driver\Setup.exe (file missing)
O26 - Debugger: HKLM\..\taskmgr.exe: [Debugger] = Hotkey Disabled (file missing)
O26 - Debugger: HKLM\..\utilman.exe: [Debugger] = C:\Windows\system32\systray.exe (Microsoft)
O26 - Tools: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\cleanuppath (default) = (no file)

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**vv_p** · 10.10.2022, 20:13

Благодарю за ответ.

Программу Process Hacker 2.39 (r124) ставили самостоятельно?

Не ставил. Дата установки соответствует дате заражения. Кто ставил - не ясно.

"Пофиксите" в HijackThis только:

Пофиксил.

**Sandor** · 11.10.2022, 08:54

Сообщение от vv_p

Кто ставил - не ясно

Злоумышленники для своих целей используют легитимные программы. Деинсталлируйте её.
Также удалите больше не поддерживаемый

Adobe Flash Player 32 NPAPI

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-1958228935-3441385573-244158065-1067\...\Policies\system: [DisableTaskMgr] 1
2022-10-09 01:59 - 2022-10-09 01:59 - 000000332 _____ C:\ProgramData\Restore-My-Files.txt
2022-10-09 01:55 - 2022-10-09 01:55 - 000000332 _____ C:\Program Files (x86)\Restore-My-Files.txt
2022-10-09 01:46 - 2022-10-09 01:46 - 000000332 _____ C:\Program Files\Restore-My-Files.txt
2022-10-09 00:26 - 2022-10-09 00:26 - 000000332 _____ C:\Users\КассаРКЦ1\Restore-My-Files.txt
2022-10-09 00:26 - 2022-10-09 00:26 - 000000332 _____ C:\Users\КассаРКЦ1\Downloads\Restore-My-Files.txt
2022-10-09 00:26 - 2022-10-09 00:26 - 000000332 _____ C:\Users\КассаРКЦ1\Documents\Restore-My-Files.txt
2022-10-09 00:26 - 2022-10-09 00:26 - 000000332 _____ C:\Users\КассаРКЦ1\Desktop\Restore-My-Files.txt
2022-10-09 00:26 - 2022-10-09 00:26 - 000000332 _____ C:\Users\Администратор\Restore-My-Files.txt
2022-10-09 00:25 - 2022-10-09 00:25 - 000000332 _____ C:\Users\Администратор\Downloads\Restore-My-Files.txt
2022-10-09 00:25 - 2022-10-09 00:25 - 000000332 _____ C:\Users\Администратор\Documents\Restore-My-Files.txt
2022-10-09 00:24 - 2022-10-09 10:48 - 000032756 _____ C:\Users\o.gulyukin\Documents\Default.rdp
2022-10-09 00:24 - 2022-10-09 00:24 - 000000332 _____ C:\Users\Администратор\Desktop\Restore-My-Files.txt
2022-10-09 00:23 - 2022-10-09 00:23 - 000000332 _____ C:\Users\Public\Desktop\Restore-My-Files.txt
2022-10-09 00:23 - 2022-10-09 00:23 - 000000332 _____ C:\Users\o.gulyukin\Restore-My-Files.txt
2022-10-09 00:23 - 2022-10-09 00:23 - 000000332 _____ C:\Users\o.gulyukin\Downloads\Restore-My-Files.txt
2022-10-09 00:23 - 2022-10-09 00:23 - 000000332 _____ C:\Users\o.gulyukin\Documents\Restore-My-Files.txt
2022-10-09 00:22 - 2022-10-09 00:22 - 000000332 _____ C:\Users\o.gulyukin\Desktop\Restore-My-Files.txt
2022-10-09 00:22 - 2022-10-09 00:22 - 000000332 _____ C:\Users\MupUr4\Restore-My-Files.txt
2022-10-09 00:22 - 2022-10-09 00:22 - 000000332 _____ C:\Users\MupUr4\Downloads\Restore-My-Files.txt
2022-10-09 00:22 - 2022-10-09 00:22 - 000000332 _____ C:\Users\MupUr4\Documents\Restore-My-Files.txt
2022-10-09 00:22 - 2022-10-09 00:22 - 000000332 _____ C:\Users\MupUr4\Desktop\Restore-My-Files.txt
2022-10-09 00:22 - 2022-10-09 00:22 - 000000332 _____ C:\Users\MupUr1\Restore-My-Files.txt
2022-10-09 00:22 - 2022-10-09 00:22 - 000000332 _____ C:\Users\MupUr1\Downloads\Restore-My-Files.txt
2022-10-09 00:22 - 2022-10-09 00:22 - 000000332 _____ C:\Users\MupUr1\Documents\Restore-My-Files.txt
2022-10-09 00:22 - 2022-10-09 00:22 - 000000332 _____ C:\Users\MupUr1\Desktop\Restore-My-Files.txt
2022-10-09 00:22 - 2022-10-09 00:22 - 000000332 _____ C:\Users\MupPasp01\Restore-My-Files.txt
2022-10-09 00:22 - 2022-10-09 00:22 - 000000332 _____ C:\Users\MupPasp01\Downloads\Restore-My-Files.txt
2022-10-09 00:22 - 2022-10-09 00:22 - 000000332 _____ C:\Users\MupPasp01\Documents\Restore-My-Files.txt
2022-10-09 00:22 - 2022-10-09 00:22 - 000000332 _____ C:\Users\MupPasp01\Desktop\Restore-My-Files.txt
2022-10-09 00:20 - 2022-10-09 00:20 - 000000332 _____ C:\Users\MupBuh5\Restore-My-Files.txt
2022-10-09 00:20 - 2022-10-09 00:20 - 000000332 _____ C:\Users\MupBuh5\Downloads\Restore-My-Files.txt
2022-10-09 00:20 - 2022-10-09 00:20 - 000000332 _____ C:\Users\MupBuh5\Documents\Restore-My-Files.txt
2022-10-09 00:19 - 2022-10-09 00:19 - 000000332 _____ C:\Users\MupBuh5\Desktop\Restore-My-Files.txt
2022-10-09 00:19 - 2022-10-09 00:19 - 000000332 _____ C:\Users\MupBuh4\Restore-My-Files.txt
2022-10-09 00:19 - 2022-10-09 00:19 - 000000332 _____ C:\Users\MupBuh4\Downloads\Restore-My-Files.txt
2022-10-09 00:19 - 2022-10-09 00:19 - 000000332 _____ C:\Users\MupBuh4\Documents\Restore-My-Files.txt
2022-10-09 00:18 - 2022-10-09 00:18 - 000000332 _____ C:\Users\MupBuh4\Desktop\Restore-My-Files.txt
2022-10-09 00:18 - 2022-10-09 00:18 - 000000332 _____ C:\Users\MupBuh3\Restore-My-Files.txt
2022-10-09 00:18 - 2022-10-09 00:18 - 000000332 _____ C:\Users\MupBuh3\Downloads\Restore-My-Files.txt
2022-10-09 00:18 - 2022-10-09 00:18 - 000000332 _____ C:\Users\MupBuh3\Documents\Restore-My-Files.txt
2022-10-09 00:18 - 2022-10-09 00:18 - 000000332 _____ C:\Users\MupBuh3\Desktop\Restore-My-Files.txt
2022-10-09 00:18 - 2022-10-09 00:18 - 000000332 _____ C:\Users\MupBuh2\Restore-My-Files.txt
2022-10-09 00:18 - 2022-10-09 00:18 - 000000332 _____ C:\Users\MupBuh2\Downloads\Restore-My-Files.txt
2022-10-09 00:18 - 2022-10-09 00:18 - 000000332 _____ C:\Users\MupBuh2\Documents\Restore-My-Files.txt
2022-10-09 00:17 - 2022-10-09 00:17 - 000000332 _____ C:\Users\MupBuh2\Desktop\Restore-My-Files.txt
2022-10-09 00:17 - 2022-10-09 00:17 - 000000332 _____ C:\Users\MupBuh1\Restore-My-Files.txt
2022-10-09 00:17 - 2022-10-09 00:17 - 000000332 _____ C:\Users\MupBuh1\Downloads\Restore-My-Files.txt
2022-10-09 00:17 - 2022-10-09 00:17 - 000000332 _____ C:\Users\MupBuh1\Documents\Restore-My-Files.txt
2022-10-09 00:17 - 2022-10-09 00:17 - 000000332 _____ C:\Users\MupBuh1\Desktop\Restore-My-Files.txt
2022-10-09 00:17 - 2022-10-09 00:17 - 000000332 _____ C:\Users\MUK\Restore-My-Files.txt
2022-10-09 00:17 - 2022-10-09 00:17 - 000000332 _____ C:\Users\MUK\Downloads\Restore-My-Files.txt
2022-10-09 00:17 - 2022-10-09 00:17 - 000000332 _____ C:\Users\MUK\Documents\Restore-My-Files.txt
2022-10-09 00:17 - 2022-10-09 00:17 - 000000332 _____ C:\Users\MUK\Desktop\Restore-My-Files.txt
2022-10-09 00:16 - 2022-10-09 00:16 - 000000332 _____ C:\Restore-My-Files.txt
2022-10-09 00:15 - 2022-10-09 02:01 - 000513280 ___SH C:\ProgramData\[[email protected]][34984981]winlogon.exe.BlackBit
2022-10-09 00:15 - 2022-10-09 02:01 - 000110848 ___SH C:\ProgramData\[[email protected]][34984981]trczi0kx.exe.BlackBit
2022-10-09 00:15 - 2022-10-09 00:16 - 000005922 _____ C:\ProgramData\info.BlackBit
2022-10-08 23:59 - 2022-10-08 23:59 - 000000333 _____ C:\Users\Public\Restore-My-Files.txt
2022-10-08 23:59 - 2022-10-08 23:59 - 000000333 _____ C:\Users\Public\Downloads\Restore-My-Files.txt
2022-10-08 23:59 - 2022-10-08 23:59 - 000000333 _____ C:\Users\Public\Documents\Restore-My-Files.txt
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
AlternateDataStreams: C:\ProgramData\TEMP:72CCCD14 [426]
AlternateDataStreams: C:\ProgramData\TEMP:9A870F8B [1020]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
FirewallRules: [{C2C98843-07D3-48A8-9A7B-7CBF73E71BEB}] => (Allow) LPort=475
FirewallRules: [{C5A8C5FC-20DC-4C08-852E-A87AC68F28AF}] => (Allow) LPort=475
FirewallRules: [{99DFAE55-9B75-4F6B-92D0-5CA72F9EE34C}] => (Allow) LPort=9099
FirewallRules: [{C6B028CB-D768-4135-A586-2E264173A306}] => (Allow) LPort=9099
FirewallRules: [{7A6EC43A-A019-4CE2-A587-7B0C0A5932E0}] => (Allow) LPort=475
FirewallRules: [{80344F43-78E9-4941-8980-428A06B83D9D}] => (Allow) LPort=475
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Слишком много учётных записей, обладающих правами администратора. На всех нужно сменить пароль и задать ограничение на количество неверных попыток ввода пароля.

Файлы зашифрованы вирусом blackbit (заявка № 227851)

Опции темы