Показано с 1 по 12 из 12.

Помогите расшифровать файты "Encrypted by Blackbit" (заявка № 227830)

  1. #1
    Junior Member Репутация
    Регистрация
    09.06.2015
    Сообщений
    29
    Вес репутации
    28

    Помогите расшифровать файты "Encrypted by Blackbit"

    Здравствуйте.
    Зашифровались файлы, не запускаются программы, при попытке входа под всеми пользователями, кроме дефолтного "Администратор", появляется сообщение о том, что все файлы защифрованы(скриншот прикрепляю).
    Операционная система Windows Server 2008 R2 с ролями "Контроллер домена и сервер терминалов"(знаю, что так делать нельзя, но нстраивал не я, мне такое досталось). Заражение началось ориентировочо 24.09.2022 около 00:10:01.
    Выполнялись резервные копии программой Acronis Backup 11.7 - резервные копии тоже зашифрованы. Так же делались копии в зону безопасности Acronis, но их сохранность проверить не могу, так как сам Acronis тоже зашифрован. Можно ли по новой установить его на сервере, чтобы проверить?
    Логи, согласно инструкции прикрепляю.
    BlackBit.PNG
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,288
    Вес репутации
    371
    Уважаемый(ая) C-S, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    09.06.2015
    Сообщений
    29
    Вес репутации
    28
    Цитата Сообщение от Info_bot Посмотреть сообщение
    Уважаемый(ая) C-S, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
    Спасибо, жду.
    Логи предоставил, готов оформить платную подписку.

  5. #4
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,964
    Вес репутации
    143
    Здравствуйте!

    2-3 зашифрованных документа вместе с запиской Restore-My-Files.txt упакуйте в архив и прикрепите к следующему сообщению.

    Цитировать полностью предыдущее сообщение не нужно, пишите в поле быстрого ответа внизу.

    - - - - -Добавлено - - - - -

    Цитата Сообщение от C-S Посмотреть сообщение
    сам Acronis тоже зашифрован
    Его можно запустить с какого-нибудь LiveCD.

  6. #5
    Junior Member Репутация
    Регистрация
    09.06.2015
    Сообщений
    29
    Вес репутации
    28
    Архив прикрепляю.

    P.S.: Хочу оформить платную подписку для создания темы в разделе "Помогите +", но не понимаю, как оплатить сервис картой. Попадаю на страницу оплаты через PayPal, а что делать дальше - непонятно.
    Как это правильно делается?
    И имеет и смысл оформлять ее в моем случае?
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,179
    Вес репутации
    1024
    Цитата Сообщение от C-S Посмотреть сообщение
    Как это правильно делается?
    И имеет и смысл оформлять ее в моем случае?
    Технически для граждан РФ это сейчас невозможно.
    И в Вашем случае расшифровки, скорее всего нет.
    WBR,
    Vadim

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,964
    Вес репутации
    143
    Подтверждаю, вымогатель - вариант Loki Locker, расшифровки нет.

    - - - - -Добавлено - - - - -

    Если планируете чистить систему с нашей помощью, дополнительно:
    Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
    Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать (Scan).
    После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

  9. #8
    Junior Member Репутация
    Регистрация
    09.06.2015
    Сообщений
    29
    Вес репутации
    28
    Здравствуйте.
    Понял, спасибо.
    В итоге я восстановил самые важные данные и системный раздел из зоны безопасности Acronis, загрузившись из образа восстановления Acronis. Восстановление системного раздела прервалось с ошибкой на 95 процентах, но система загружается и работает.
    На текущий момент основной функционал восстановлен.
    Установил на сервер Kespersky Endpoint Security 11.10, проверка выявила несколько подозрительных файлов:
    C:\Users\post\AppData\Roaming\pr_c.exe
    C:\Windows\System32\xmrig\gup.exe
    C:\Windows\System32\xmrig\daystart.cmd
    C:\Windows\System32\xmrig\nightstart.cmd


    Но все они существуют достаточно давно, с 20.03.2022 и вряд ли связаны с произошедшим.
    Скрипты daystart.cmd и nightstart.cmd выглядят так:
    taskkill /F /IM gup.exe
    nightstart.cmd по расписанию должен запускаться каждый день в 23 часа, daystart.cmd - в 7 утра и при каждом запуске системы.
    Что это за gup.exe - непонятно, но по факту скрипты последние два месяца не выполнялись, потому что они запускаются от имени администратора, а у него я сменил пароль и в задания его не вводил, потому что не знал об их существовании.

    Система Windows Server 2008 R2, наружу открыт нестандартный порт, запросы на который роутер перенаправляет на RDP сервера. Для ввода логина и пароля используется проверка на уровне сети(не появляется приветственное окно, в котором можно увидеть версию сервера).
    Я подозреваю, что было использовано что-то из этого - RDP наружу + старая версия Windows без актуальных обновлений + отсутствие антивируса.
    Можно ли по логам сканирования AVZ как-то понять, что явилось причиной шифрования и какую уязвимость использовали?
    Viruses.PNG
    Последний раз редактировалось C-S; 27.09.2022 в 12:28.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,179
    Вес репутации
    1024
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
    ExitAVZ;
    end.
    В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    09.06.2015
    Сообщений
    29
    Вес репутации
    28
    Уточните пожалуйста, для чего нужно выполнить этот скрипт?
    Имеет ли смысл его делать при условии, что раздела с зараженной системой больше нет? Я восстановил системный раздел из резервной копии от 21 числа, а заражение произошло в ночь с 23 на 24 число, когда ситсема вероятно еще не была заражена.
    На время выполнения скрипта отключать антивирус? Система будет перезагружена после его выполнения?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,179
    Вес репутации
    1024
    Если так, то смысла нет. Это просто сбор системных журналов.
    Отключайте доступ по RDP, меняйте пароли. Причину не узнаем, но 99% - взлом RDP.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    09.06.2015
    Сообщений
    29
    Вес репутации
    28
    Понял.
    Вообще там на сервере стоит RDP Guard, который блокирует после 5 неудачных попыток подключения, но все равно это не панацея, я понимаю.
    Необходимость VPN сам понимаю.
    Что примечательно - за этим роутером стоит еще один сервер, на который так же проброшен RDP(подробностей какая там ОС и защита - не знаю, это соседи) - на нем все в порядке.

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 20.08.2015, 09:50
  2. Ответов: 13
    Последнее сообщение: 24.02.2015, 19:29
  3. Убиты ли трояны?
    От Ugadajka в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 22.03.2009, 23:05
  4. Вирусные факты
    От akok в разделе Новости интернет-пространства
    Ответов: 2
    Последнее сообщение: 31.01.2008, 13:54
  5. Ответов: 1
    Последнее сообщение: 14.01.2007, 22:45

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01139 seconds with 19 queries