Перейти к содержанию

Просьба попытаться расшифровать [spystar@onionmail.org][CE41433D]****.BlackBit


Рекомендуемые сообщения

Начали шифровать сервера. Вовремя заметили и выключили.

Во вложении файл Cpriv.BlackBit возможно с ключем шифрования.

Сервера были восстановлены из резервной копии.

Часть данных потеряли - хотелось бы расшифровать.

Заранее благодарен.

Addition.txt FRST.txt !Для расшифровки.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Предположительно это вариант Loki Locker, так что расшифровки нет.

В логах не видно следов шифрования, заражение произошло на другом компьютере?

Ссылка на сообщение
Поделиться на другие сайты

Заражение произошло на этом компьютере, но он был восстановлен из бэкапа.

Есть другой сервер полностью зашифрованный.

Приложил логи с него. Но они были сделаны в сэйф моде

 

Addition.txt FRST.txt

Изменено пользователем Sandr0
Ссылка на сообщение
Поделиться на другие сайты

Да, спасибо, тут как раз он виден.

Ещё некоторое время подождите окончательного вердикта (хоть и без особых надежд на успех).

Ссылка на сообщение
Поделиться на другие сайты

возможно там и скрипт (или что там запускалось) есть - только скажите что искать

 

 

Ну и вопрос из области фантастики - как определить под каким пользователем это заработало?
я сейчас включил учетку локального админа и ничего не шифруется....
все было запущено от пользователя который сейчас не вошел на сервер. 

Ссылка на сообщение
Поделиться на другие сайты

Если ориентироваться на логи из безопасного режима, это произошло 2022-09-24 23:37 в учётках: 
 

Цитата

 

C:\Users\1c_user4141\

C:\Users\1C_User4023.TEAM-RKD\

C:\Users\Public\

 

То есть, от администратора скорее всего.

Ссылка на сообщение
Поделиться на другие сайты

Как и предполагал, это вариант Loki и расшифровки нет.

Только хочу уточнить - здесь на форуме сотрудники ЛК не отвечают в темах лечения (и соотв. я к ним не отношусь).

Поэтому если вам нужен официальный ответ, следует обратиться по официальным же каналам - через My Kaspersky или через Company Account.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Jorik
      От Jorik
      Добрый вечер всем!
       
      У меня та же проблема, все файлы зашифрованы по шаблону [Onion749@onionmail.org][3E7083C9]хххOriginalNameххх.ххх.onion700
      Произошло это 30 ноября. Диск вытащил целиком и переписываюсь с вымогателями... Будут какие-то идеи по расшифровке, киньте ссылку пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Raisca
      От Raisca
      Доброго времени всем! Подмогните найти дешивровщик на это вирус. Попробовал все утилиты дешивковщиков выложенных здесь не помогло. Есть файл один и тот же закодированный и исправный (PDF). 
      https://ibb.co/7kpJxDC--- скрин блокировщика
    • webpinpin
      От webpinpin
      Добрый день!
       
      Взломали сервер через rdp, зашифровали файлы. Есть ли возможность их как-то восстановить?
      логи FRST и пример зашифрованных файлов прикладываю. пароль на архив virus, шифровальщика удалил small office security
      Addition.txt FRST.txt virus.rar
    • reidzi
      От reidzi
      Добрый день. Словил шифровальщик, в интернете искал - решения не попадались.
      во вложении сам шифровальщик info.hta
      и файл с вымогательствами. 
      Буду очень благодарен если кто-нибудь поможет или даст направление куда копать.
      shifr.zip
    • Torry
      От Torry
      Здравствуйте. Файли зашифрованы BlackBit, почта для общения с мошенниками roxiyo@onionmail.com. Кто что может подсказать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...