Шифровальщик локер

[matvens]

Здравствуйте! Поймал шифровальщика BlackBit. Системные файлы не пострадали. Вирус удален, но возможно остались следы в системных каталогах, реестре и т.д. Прошу помочь очистить и защитить компьютер от повторной атаки.

Большая часть файлов восстановлена из бекапа, но к сожалению актуальность некоторых не устраивает. Подскажите, что можно предпринять для самостоятельного раскодирования (время не имеет значения) и есть ли шанс дождаться соответствующего декриптора?

Лог avz в архиве: https://dropmefiles.com/qzXTS

[Info_bot]

Уважаемый(ая) matvens, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Зачем так сложно, на файлообменник, да ещё и с паролем. По правилам нужно вложением.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Tasks: (disabled) BlackBit - C:\Users\LINDA\AppData\Roaming\winlogon.exe (file missing)
O22 - Tasks: Avira_Security_Maintenance - C:\Program Files (x86)\Avira\Security\Avira.Spotlight.Service.Worker.exe CrashCollector (file missing)
O22 - Tasks: Avira_Security_Maintenance - C:\Program Files (x86)\Avira\Security\Avira.Spotlight.Service.Worker.exe FallbackTelemetry (file missing)
O22 - Tasks: Avira_Security_Maintenance - C:\Program Files (x86)\Avira\Security\Avira.Spotlight.Service.Worker.exe ServiceWatchdog (file missing)
O22 - Tasks: Avira_Security_Service_SCM_Watchdog - C:\Program Files (x86)\Avira\Security\Avira.Spotlight.Service.Worker.exe HandleServiceControlManagerEvent 7000 (file missing)
O22 - Tasks: MicrosoftEdgeUpdateTaskMachineCore - C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c (file missing)
O22 - Tasks: MicrosoftEdgeUpdateTaskMachineUA - C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler (file missing)

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight\Microsoft Silverlight.lnk"    -> ["C:\Program Files (x86)\Microsoft Silverlight\4.0.60129.0\Silverlight.Configuration.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio Installer.lnk"    -> ["C:\Program Files (x86)\Microsoft Visual Studio\Installer\setup.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QUIK_invest_palata\Инструкция по созданию и регистрации ключей.pdf.lnk"           -> ["C:\QUIK_invest_palata\KeyGen\Инструкция по созданию и регистрации ключей.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio 2019.lnk"         -> ["C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\Common7\IDE\devenv.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows App Certification Kit\Windows App Cert Kit.lnk"    -> ["C:\Program Files (x86)\Windows Kits\10\App Certification Kit\appcertui.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Documentation for Desktop Apps.lnk"           -> ["C:\Program Files (x86)\Windows Kits\10\Shortcuts\DesktopDevCenterLearn.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Samples for Desktop Apps.lnk"       -> ["C:\Program Files (x86)\Windows Kits\10\Shortcuts\DesktopDevCenterSamples.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Tools for Desktop Apps.lnk"         -> ["C:\Program Files (x86)\Windows Kits\10\Shortcuts\DesktopDevCenterToolsDocumentation.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Documentation for Windows Store Apps.lnk"     -> ["C:\Program Files (x86)\Windows Kits\10\Shortcuts\WindowsStoreAppDevCenterLearn.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Samples for Windows Store Apps.lnk"           -> ["C:\Program Files (x86)\Windows Kits\10\Shortcuts\WindowsStoreAppDevCenterSamples.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Tools for Windows Store Apps.lnk"   -> ["C:\Program Files (x86)\Windows Kits\10\Shortcuts\WindowsStoreAppDevCenterToolsDocumentation.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Compile Script to .exe (x86).lnk"         -> ["C:\Program Files (x86)\AutoIt3\Aut2Exe\Aut2exe.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Compile Script to .exe (x64).lnk"         -> ["C:\Program Files (x86)\AutoIt3\Aut2Exe\Aut2exe_x64.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\SciTE Script Editor.lnk"        -> ["C:\Program Files (x86)\AutoIt3\SciTE\SciTE.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Extras\AutoItX\AutoItX Help File.lnk"     -> ["C:\Program Files (x86)\AutoIt3\AutoItX\AutoItX.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Extras\AutoItX\VBScript Examples.lnk"     -> ["C:\Program Files (x86)\AutoIt3\AutoItX\ActiveX\VBScript"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\SciTE\SciTE.lnk"      -> ["C:\Program Files (x86)\AutoIt3\SciTE\SciTE.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\SciTE\Tidy.lnk"       -> ["C:\Program Files (x86)\AutoIt3\SciTE\Tidy\Tidy.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\SciTE\GettingStarted.lnk"       -> ["C:\Program Files (x86)\AutoIt3\SciTE\SciTE4AutoIt3.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\SciTE\Switch-Definitions.lnk"   -> ["C:\Program Files (x86)\AutoIt3\SciTE\defs\UpdateDefs.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\SciTE\Uninstall.lnk"  -> ["C:\Program Files (x86)\AutoIt3\SciTE\uninst.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\SciTE\Website.lnk"    -> ["C:\Program Files (x86)\AutoIt3\SciTE\SciTE4AutoIt3.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira\Avira.lnk"      -> ["C:\Program Files (x86)\Avira\Security\Avira.Spotlight.UI.Application.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2020.lnk"       -> ["D:\Program Files (x86)\Photoshope\Adobe Photoshop 2020\Photoshop.exe"]

Отчёт о работе прикрепите.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[matvens]

Появилась учетка пользователя Admin1, которую я не создавал. Еще при открытии МойКомпьютер на рабочем столе создается папка без подписи (открыть ее не возможно). Логи прикрепил, Прошу прощения за ссылки, форма прикрепления у меня не работает. https://dropmefiles.com/ikhGW

[Vvvyg]

Код:

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: D:\Program Files <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: C:\Program Files (x86) <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: C:\Program Files (x86)\Avira <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: D:\Program Files (x86) <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: E:\ThunderbirdPortable <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ

Ограничения групповыми политиками на папки сами устанавливали?

[matvens]

Код:

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: D:\Program Files <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: C:\Program Files (x86) <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: C:\Program Files (x86)\Avira <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: D:\Program Files (x86) <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: E:\ThunderbirdPortable <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ

Ограничения групповыми политиками на папки сами устанавливали?

Да.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-981651176-114711281-4224589849-1000\...\Run: [] => [X]
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
Task: {AB01028C-0ACD-42B9-BAE7-F25E2EC34AF6} - \KMSAuto -> Нет файла <==== ВНИМАНИЕ
S2 AviraSecurityUpdater; отсутствует ImagePath
S2 edgeupdate; отсутствует ImagePath
S3 edgeupdatem; отсутствует ImagePath
S2 gupdate; отсутствует ImagePath
S3 gupdatem; отсутствует ImagePath
Folder: c:\Users\Public\Desktop
Folder: C:\Users\LINDA\Desktop
StartBatch:
net user admin1 /DELETE
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

Доступ из интернета по Winbox опасно открывать, могли взломать.

[matvens]

Логи во вложении. https://dropmefiles.com/RLMcL

- - - - -Добавлено - - - - -

Доступ из интернета по Winbox опасно открывать, могли взломать.

Спасибо! Закрыл.

[Vvvyg]

---------------------------- [ Antivirus_WMI ] ----------------------------
Avira Antivirus (включен и устарел)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Avira Antivirus (включен и устарел)

Базы актуальные?

Не сразу заметил, что пользовательские папки перенесены на диск D:. Сделайте такое исправление в FRST (без перезагрузки):

Код:

Start::
Systemrestore: on
CreateRestorePoint:
Folder: D:\Desktop
End::

Покажите новый Fixlog.txt.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

[matvens]

Логи во вложении. https://dropmefiles.com/zBezw

- - - - -Добавлено - - - - -

Базы актуальные?

Нет. Авира не обновляется, использую только ее эвристику.

[Vvvyg]

В событиях ничего интересного, т. к. после шифрования журналы очистили:

Имя журнала: System
Источник: Microsoft-Windows-Eventlog
Дата: 14.01.2023 2:37:47
Код события: 104
Категория задачи:Очистка журнала
Уровень: Сведения
Ключевые слова:
Пользователь: S-1-5-21-981651176-114711281-4224589849-1000
Компьютер: LINDA-PC
Описание:
Файл журнала microsoft-windows-RemoteDesktopServices-RemoteDesktopSessionManager/Admin очищен.

Имя журнала: System
Источник: Microsoft-Windows-Eventlog
Дата: 14.01.2023 2:37:47
Код события: 104
Категория задачи:Очистка журнала
Уровень: Сведения
Ключевые слова:
Пользователь: S-1-5-21-981651176-114711281-4224589849-1000
Компьютер: LINDA-PC
Описание:
Файл журнала Windows PowerShell очищен.

Имя журнала: System
Источник: Microsoft-Windows-Eventlog
Дата: 14.01.2023 2:37:47
Код события: 104
Категория задачи:Очистка журнала
Уровень: Сведения
Ключевые слова:
Пользователь: S-1-5-21-981651176-114711281-4224589849-1000
Компьютер: LINDA-PC
Описание:
Файл журнала System очищен.

То, что антивирус без баз используете, это неправильно.

Главный вопрос: как попал шифровальщик, подключились по RDP?

[matvens]

В событиях ничего интересного, т. к. после шифрования журналы очистили:
То, что антивирус без баз используете, это неправильно.

Главный вопрос: как попал шифровальщик, подключились по RDP?

История такая: Притащил сам пользователь через рекламу на каком-то сомнительно файлообменнике (летби или депозит - точной нет информации). Щелкнул по безобидному баннеру , открылось отдельное окно, закрыл буквально сразу не изучая контент. Этого было достаточно, чтобы загрузить троянца. Активизировался шифровальщик только через день, когда я на пару часов отключил файерволл (была необходимость). К сожалению, после отключения файервола, отошел от компьютера и отреагировал поздно, большая часть юзерских файлов "попала под раздачу". Сталкиваюсь первый раз, авира не среагировала (была отключена троянцем), в процессах ничего с ходу не заметил подозрительного, поэтому зашел в автозагрузку и планировщик и выключил все сомнительные процессы и задания, включил файервол. После перезагрузки шифрование прекратилось, авира среагировала на трояна. Далее провел несколько поисков утилитами от Касперского, Др.Веб, AVZ4 (было удалено окло 1500 подозрительных файлов, включая файлы в карантине авиры), чистил реестр по тегам "BlackBit" "locki". Дополнительно провел полную очистку реестра и системы вместе с жураналами. После обратился к вам.

- - - - -Добавлено - - - - -

И еще интересный момент, вступил в переписку по мылу, указанному в требовании выкупа [email protected]. Отвечают в течении суток, требуют $5000 (вот она настоящая цена резервной копии ). Расшифровали один файл, который я им оправил. Для расшифровки просили файл с ключом на рабочем столе Cpriv.BlackBit

- - - - -Добавлено - - - - -

Повторюсь, Большая часть файлов восстановлена из бекапа, но к сожалению актуальность некоторых не устраивает. У вас есть платная услуга по расшифровке - поможете?

[Vvvyg]

По всем почти актуальным шифровальщикам шансов на расшифровку нет. Асимметричное шифрование, большая длина ключа.
Иногда злодеи сами отходят от дел и выкладывают ключи расшифровки, иногда они попадают к правоохранительным органам.
Были редкие случаи раньше, когда из-за изъяна в реализации алгоритма можно было вычислить или сбрутфорсить ключ расшифровки за приемлемое время, сейчас таких ситуаций нет, не припомню, по крайней мере.

Пользователь должен работать с ограниченными правами, это правило, которое часто помогает.

[matvens]

Ясно. Спасибо Вам большое за помощь! Рекомендации по этой системе будут какие-то еще? Нужна переустановка?

[Vvvyg]

Решайте сами, по логам есть ощущение, что кое что из программ снесено некорректно.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[matvens]

Спасибо большое за помощь!