Перейти к содержанию

Зашифрованные файлы с расширением BLackShadow

AndreyMagiRus
 Share

Рекомендуемые сообщения

AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
Опубликовано

Предположительно, используя протокол RDP, злоумышленники получили доступ к нескольким ПК локальной сети (на одном из них стоял Kaspersky Security Cloud, но это его не спасло. В результате чего большинство файлов (текстовые, офисные, картинки, музыка, видео и т.д) были зашифрованы и переименованы путем добавления расширения .BLackShadow к каждому из них, ну и стандартный текстовый файлик с контактами и требованиями связаться с ними, иначе файлы пропадут и будут опубликованы в Даркнете. Компьютеры были вылечены утилитой KVRT, который обнаружил множественные заражения исполняемых файлов вирусом Virus.Win32.Neshta.a. Насколько я понимаю, именно шифрованием данный вирус не занимается, в связи с этим вопрос, как вообще узнать чем зашифрованы файлы? И каковы шансы на дешифрацию? Что можно попробовать сделать и куда обратиться с подобной проблемой, в том числе и на платной основе? Образцы зашифрованных файлов + требования злоумышленников, а также результат работы Farbar Recovery Scan Tool прилагаю. 

Addition.txt Образцы BLackShadow.7z FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

14 часов назад, AndreyMagiRus сказал:

Насколько я понимаю, именно шифрованием данный вирус не занимается

Да, это файловый вирус и часто идет "в комплекте" с вымогателем.

 

14 часов назад, AndreyMagiRus сказал:

на одном из них стоял Kaspersky Security Cloud

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Тут форум клуба и консультанты не являются сотрудниками компании.

Пока пробуем определить тип вымогателя.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Предположительно, это Proxima Ransomware.

 

17 часов назад, AndreyMagiRus сказал:

Компьютеры были вылечены утилитой KVRT

Её отчёт - папка C:\KVRT2020_Data\Reports - упакуйте в архив и прикрепите к следующему сообщению.

 

Если оформите запрос в ЛК, сообщите здесь результат переписки, пожалуйста.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
  • Автор
Опубликовано
4 часа назад, Sandor сказал:

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Благодарю, именно это я уже сделал. Лицензия на KIS имеется.

 

1 час назад, Sandor сказал:

Предположительно, это Proxima Ransomware.

 

Отлично, хоть какая-то информация, примерно понятно в какую сторону копать! Буду сейчас сам изучать вопрос, но, на ваш взгляд, какие шансы расшифровать данные не имея нужного ключа?

 

1 час назад, Sandor сказал:

Её отчёт - папка C:\KVRT2020_Data\Reports - упакуйте в архив и прикрепите к следующему сообщению.

Если оформите запрос в ЛК, сообщите здесь результат переписки, пожалуйста.

Немного ввел в заблуждение. На зараженных компах изначально запускал Kaspersky Rescue Disk с флешки, но, насколько понимаю, репорты у него и у KVRT аналогичные. Прикладываю ее отчет. Как мне ответят на запрос в ЛК, обязательно результат сообщу.

Reports.7z

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
21 минуту назад, AndreyMagiRus сказал:

какие шансы расшифровать данные не имея нужного ключа?

Весьма призрачные.

 

21 минуту назад, AndreyMagiRus сказал:

Как мне ответят на запрос в ЛК, обязательно результат сообщу.

Спасибо, ждём.

Ссылка на комментарий
Поделиться на другие сайты
AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Весьма призрачные.

Тогда есть пара вопросов... При наличия ключа расшифровка возможна или же использование комплекса алгоритмов шифрования, который используется Proxima Ransomware это путь в один конец? Или пока неизвестны подробности и сказать что-то определенное невозможно? И второй вопрос - правильно ли я понимаю, что файлы пока лучше не трогать (те, которые не срочные) до момента пока, возможно, не найдут способа дешифрации?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
12 минут назад, AndreyMagiRus сказал:

При наличия ключа расшифровка возможна

Да. Но этот ключ хранится у злоумышленников на серверах.

 

13 минут назад, AndreyMagiRus сказал:

файлы пока лучше не трогать

Если есть возможность их отложить, сделайте это.

Ссылка на комментарий
Поделиться на другие сайты
AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
  • Автор
Опубликовано
25.05.2023 в 13:30, Sandor сказал:

Спасибо, ждём.

Как и обещал, привожу ответ от Лаборатории Касперского:

 

Уважаемый пользователь!
Файлы зашифрованы Trojan-Ransom.Win32.Azadi.
Для шифрования используется криптографически стойкий алгоритм, поэтому расшифровка файлов, к сожалению, невозможна без приватного ключа злоумышленника.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • Garand
      Зашифровали файли расширением oo4ps и диски Bitlocker
      От Garand
      Windows Server 2012 R2
      Спокойно работали 29.11.2024  и в 09:40 перестали быть доступны сетевые файлы и появилась ошибка 1С.
      в текстовом файле указана почта для восстановления:
      Write to email: a38261062@gmail.com
       
      Во вложении текстовый файл и несколько зашифрованных файлов
      FILES_ENCRYPTED.rar Desktop.rar
    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • ovfilinov
      поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
×
×
  • Создать...