Перейти к содержанию

Просьба попытаться расшифровать [spystar@onionmail.org][CE41433D]****.BlackBit


Рекомендуемые сообщения

Начали шифровать сервера. Вовремя заметили и выключили.

Во вложении файл Cpriv.BlackBit возможно с ключем шифрования.

Сервера были восстановлены из резервной копии.

Часть данных потеряли - хотелось бы расшифровать.

Заранее благодарен.

Addition.txt FRST.txt !Для расшифровки.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Предположительно это вариант Loki Locker, так что расшифровки нет.

В логах не видно следов шифрования, заражение произошло на другом компьютере?

Ссылка на сообщение
Поделиться на другие сайты

Заражение произошло на этом компьютере, но он был восстановлен из бэкапа.

Есть другой сервер полностью зашифрованный.

Приложил логи с него. Но они были сделаны в сэйф моде

 

Addition.txt FRST.txt

Изменено пользователем Sandr0
Ссылка на сообщение
Поделиться на другие сайты

Да, спасибо, тут как раз он виден.

Ещё некоторое время подождите окончательного вердикта (хоть и без особых надежд на успех).

Ссылка на сообщение
Поделиться на другие сайты

возможно там и скрипт (или что там запускалось) есть - только скажите что искать

 

 

Ну и вопрос из области фантастики - как определить под каким пользователем это заработало?
я сейчас включил учетку локального админа и ничего не шифруется....
все было запущено от пользователя который сейчас не вошел на сервер. 

Ссылка на сообщение
Поделиться на другие сайты

Если ориентироваться на логи из безопасного режима, это произошло 2022-09-24 23:37 в учётках: 
 

Цитата

 

C:\Users\1c_user4141\

C:\Users\1C_User4023.TEAM-RKD\

C:\Users\Public\

 

То есть, от администратора скорее всего.

Ссылка на сообщение
Поделиться на другие сайты

Как и предполагал, это вариант Loki и расшифровки нет.

Только хочу уточнить - здесь на форуме сотрудники ЛК не отвечают в темах лечения (и соотв. я к ним не отношусь).

Поэтому если вам нужен официальный ответ, следует обратиться по официальным же каналам - через My Kaspersky или через Company Account.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • heimdall
      От heimdall
      Добрый день. Компьютер сотрудника утром обрадовал сообщением, что файлы зашифрованы blackbit. К компу был доступ по rdp, следом еще 2 пк в сети зашифрованы. 
      files.rar Addition.rar
    • marmon
      От marmon
      Добрый день зашифрованы файлы на сервере и в сети на сетевом диске
      Desktop.7z Addition.txt FRST.txt
    • wowabas_1959
      От wowabas_1959
      Неожиданно сегодня прилетел BlackBit и зашифровал системный диск и диск с архивом. Требует денег.
      Систему-то я могу переустановить с нуля, а вот архивы (фото, документы) жалко.
      Необходимые файлы как смог приготовил. Хотя через несколько секунд они тоже шифруются.
       А вот добавить образ автозапуска системы в uVS не могу.
      архив программы скачивал несколько раз и из разных мест.
      При попытке риаспаковать данный архив с программой в отдельный каталог пишет поврежденный архив.
      Addition.txt eb2d57b2-83b2-45ac-80aa-e28b8e2a3089.zip FRST.txt
    • SeregyI
      От SeregyI
      Добрый день! сервер windows server 2016 с RDP был взломан и зашифрован. Заплатили получили дешифратор расшифровали, после перезапуска опять все зашифровано. вирус где то лежит и активен. программы не запускаюся, система загружается как будто в безопасном режиме, службы не работают, active directory тоже
    • Yonas
      От Yonas
      Здравствуйте. Принесли компьютер (сервер)  инфицированный шифровальщиком Black Bit. Каким образом поймали шифровальщик пока неизвестно, скорее всего по RDP. Зашифрованные файлы сменили названия, например [howtodecryptsupport@cock.li][72F86E9A]desktop.ini.BlackBit. Там же лежит текстовый файлик с почтой для связи с злоумышленниками howtodescrypsupport@cock.li. Если не будет ответа через 24 часа, то просят написать на unlocker@decoymail.net или связаться в Телеграмм @rdp_help, и указан SYSTEM ID: 72F86E9A. 
      Addition.txt FRST.txt ВозможноВирус.7z Файлы и требование.7z
×
×
  • Создать...