Перейти к содержанию
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

Зашифрованные файлы с расширением BLackShadow

AndreyMagiRus
 Share Подписчики 2

Рекомендуемые сообщения

AndreyMagiRus

AndreyMagiRus 1

Опубликовано
Опубликовано

Предположительно, используя протокол RDP, злоумышленники получили доступ к нескольким ПК локальной сети (на одном из них стоял Kaspersky Security Cloud, но это его не спасло. В результате чего большинство файлов (текстовые, офисные, картинки, музыка, видео и т.д) были зашифрованы и переименованы путем добавления расширения .BLackShadow к каждому из них, ну и стандартный текстовый файлик с контактами и требованиями связаться с ними, иначе файлы пропадут и будут опубликованы в Даркнете. Компьютеры были вылечены утилитой KVRT, который обнаружил множественные заражения исполняемых файлов вирусом Virus.Win32.Neshta.a. Насколько я понимаю, именно шифрованием данный вирус не занимается, в связи с этим вопрос, как вообще узнать чем зашифрованы файлы? И каковы шансы на дешифрацию? Что можно попробовать сделать и куда обратиться с подобной проблемой, в том числе и на платной основе? Образцы зашифрованных файлов + требования злоумышленников, а также результат работы Farbar Recovery Scan Tool прилагаю. 

Addition.txt Образцы BLackShadow.7z FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Здравствуйте!

 

14 часов назад, AndreyMagiRus сказал:

Насколько я понимаю, именно шифрованием данный вирус не занимается

Да, это файловый вирус и часто идет "в комплекте" с вымогателем.

 

14 часов назад, AndreyMagiRus сказал:

на одном из них стоял Kaspersky Security Cloud

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Тут форум клуба и консультанты не являются сотрудниками компании.

Пока пробуем определить тип вымогателя.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Предположительно, это Proxima Ransomware.

 

17 часов назад, AndreyMagiRus сказал:

Компьютеры были вылечены утилитой KVRT

Её отчёт - папка C:\KVRT2020_Data\Reports - упакуйте в архив и прикрепите к следующему сообщению.

 

Если оформите запрос в ЛК, сообщите здесь результат переписки, пожалуйста.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
AndreyMagiRus

AndreyMagiRus 1

Опубликовано
  • Автор
Опубликовано
4 часа назад, Sandor сказал:

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Благодарю, именно это я уже сделал. Лицензия на KIS имеется.

 

1 час назад, Sandor сказал:

Предположительно, это Proxima Ransomware.

 

Отлично, хоть какая-то информация, примерно понятно в какую сторону копать! Буду сейчас сам изучать вопрос, но, на ваш взгляд, какие шансы расшифровать данные не имея нужного ключа?

 

1 час назад, Sandor сказал:

Её отчёт - папка C:\KVRT2020_Data\Reports - упакуйте в архив и прикрепите к следующему сообщению.

Если оформите запрос в ЛК, сообщите здесь результат переписки, пожалуйста.

Немного ввел в заблуждение. На зараженных компах изначально запускал Kaspersky Rescue Disk с флешки, но, насколько понимаю, репорты у него и у KVRT аналогичные. Прикладываю ее отчет. Как мне ответят на запрос в ЛК, обязательно результат сообщу.

Reports.7z

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано
21 минуту назад, AndreyMagiRus сказал:

какие шансы расшифровать данные не имея нужного ключа?

Весьма призрачные.

 

21 минуту назад, AndreyMagiRus сказал:

Как мне ответят на запрос в ЛК, обязательно результат сообщу.

Спасибо, ждём.

Ссылка на сообщение
Поделиться на другие сайты
AndreyMagiRus

AndreyMagiRus 1

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Весьма призрачные.

Тогда есть пара вопросов... При наличия ключа расшифровка возможна или же использование комплекса алгоритмов шифрования, который используется Proxima Ransomware это путь в один конец? Или пока неизвестны подробности и сказать что-то определенное невозможно? И второй вопрос - правильно ли я понимаю, что файлы пока лучше не трогать (те, которые не срочные) до момента пока, возможно, не найдут способа дешифрации?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано
12 минут назад, AndreyMagiRus сказал:

При наличия ключа расшифровка возможна

Да. Но этот ключ хранится у злоумышленников на серверах.

 

13 минут назад, AndreyMagiRus сказал:

файлы пока лучше не трогать

Если есть возможность их отложить, сделайте это.

Ссылка на сообщение
Поделиться на другие сайты
AndreyMagiRus

AndreyMagiRus 1

Опубликовано
  • Автор
Опубликовано
25.05.2023 в 13:30, Sandor сказал:

Спасибо, ждём.

Как и обещал, привожу ответ от Лаборатории Касперского:

 

Уважаемый пользователь!
Файлы зашифрованы Trojan-Ransom.Win32.Azadi.
Для шифрования используется криптографически стойкий алгоритм, поэтому расшифровка файлов, к сожалению, невозможна без приватного ключа злоумышленника.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • LiSenya
      Вирус-шифровальщик зашифровал файлы и добавил к ним расширение ELONS
      От LiSenya
      Вирус-шифровальщик зашифровал файлы и добавил к ним расширение ELONS.
      Прилагаю логи: txt файл, архив который зашифровали, зашифрованную JSON и оригинальную.
      Так же ссылка на вирустотл: VirusTotal - File - 35a2666e8267886eba8b049a6801a59b2db817e73a0956bda6257b90038ab411
      Будем очень признательны за любую помощь!
       
      Архив запаролен. Пароль в ЛС
       
      шифрФайлы.rar
    • indeedx
      Вирус senator
      От indeedx
      вирус senator, там есть текстовой файл с ID - Your Decryption ID: 8E9A415AB6660F85
      FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • artyllerist86
      Шифровальщик зашифровал файлы .abram
      От artyllerist86
      Сегодня ночью произошло заражение компьютера. В следствии чего не понятно. Похоже сам компьютер был взломан. Большая часть файлов зашифрована с расширением .abram
      логи farbar.zip зашифрованные файлы и записка.zip
    • gts
      Возможно ли расшифровать? *.SENATOR
      От gts
      Проблемная машина уже не в сети, и ее спасать не нужно.
      Задело немного файлы шары(на линуксе), есть ли спасение на данный момент от этой напасти?
       
      crypt.rar
    • Netyfrey
      Trojan-Ransom.Win32.Rakhni
      От Netyfrey
      Зашифрованы все файлы на ПК, к многим добавлено расширение. К архивам расширение не добавилось, но при попытке их открыть - "архив поврежден"
      fails.rar FRST.txt unlock-info.rar
×
×
  • Создать...