Перейти к содержанию
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

Просьба попытаться расшифровать [spystar@onionmail.org][CE41433D]****.BlackBit

Sandr0
 Share Подписчики 1

Рекомендуемые сообщения

Sandr0

Sandr0 1

Опубликовано
Опубликовано

Начали шифровать сервера. Вовремя заметили и выключили.

Во вложении файл Cpriv.BlackBit возможно с ключем шифрования.

Сервера были восстановлены из резервной копии.

Часть данных потеряли - хотелось бы расшифровать.

Заранее благодарен.

Addition.txt FRST.txt !Для расшифровки.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Здравствуйте!

 

Предположительно это вариант Loki Locker, так что расшифровки нет.

В логах не видно следов шифрования, заражение произошло на другом компьютере?

Ссылка на сообщение
Поделиться на другие сайты
Sandr0

Sandr0 1

Опубликовано
  • Автор
Опубликовано (изменено)

Заражение произошло на этом компьютере, но он был восстановлен из бэкапа.

Есть другой сервер полностью зашифрованный.

Приложил логи с него. Но они были сделаны в сэйф моде

 

Addition.txt FRST.txt

Изменено пользователем Sandr0
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Да, спасибо, тут как раз он виден.

Ещё некоторое время подождите окончательного вердикта (хоть и без особых надежд на успех).

Ссылка на сообщение
Поделиться на другие сайты
Sandr0

Sandr0 1

Опубликовано
  • Автор
Опубликовано

возможно там и скрипт (или что там запускалось) есть - только скажите что искать

 

 

Ну и вопрос из области фантастики - как определить под каким пользователем это заработало?
я сейчас включил учетку локального админа и ничего не шифруется....
все было запущено от пользователя который сейчас не вошел на сервер. 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Если ориентироваться на логи из безопасного режима, это произошло 2022-09-24 23:37 в учётках: 
 

Цитата

 

C:\Users\1c_user4141\

C:\Users\1C_User4023.TEAM-RKD\

C:\Users\Public\

 

То есть, от администратора скорее всего.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Как и предполагал, это вариант Loki и расшифровки нет.

Только хочу уточнить - здесь на форуме сотрудники ЛК не отвечают в темах лечения (и соотв. я к ним не отношусь).

Поэтому если вам нужен официальный ответ, следует обратиться по официальным же каналам - через My Kaspersky или через Company Account.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Gupecology
      Вирус BlackBit
      От Gupecology
      Взломали сервер и зашифровали файлы. Требуют выкуп. Из за чего непонятно, возможно взломали через rdp.FRST.txtAddition.txtАрхив WinRAR.rar
    • PRB84
      Шифровальщик panda2024@cock.lu
      От PRB84
      Здравствуйте. Зашифровало все файлы на сервере и на некоторых рабочих компьютерах.
    • DJs3000
      Зашифровали файлы panda2024@cock.lu
      От DJs3000
      Здравствуйте. На сервере зашифровало все файлы. Предполагаю, что сбрутили пароль и по drp получили доступ. Пользовательские компьютеры не зашифрованы из чего делаю вывод, что вредоносное по попало напрямую на файловый сервер.
      В архиве приложил 2 файла от FRST64, 2 файла оригинала и они же в зашифрованном виде. Так же в архиве файл с информацией о вымогателе. Прошу помощи в дешифраторе.
      locker.7z
    • Андрей E.
      словили blackbit на windows server 2016. скорее всего через открытый порт намаршрутизаторе 3389.
      От Андрей E.
      Какие наши действия?
    • Grig
      несколько серверов зашифрованы blackbit
      От Grig
      Не очень добрый день
      сегодня с утра перестало работать несколько служб. Обнаружили на серверах файлы Cpriv.BlackBit. Серверы были выключены. Файлы зашифрованные пока выслать не могу. Подскажите как правильно действовать далее.
×
×
  • Создать...