Перейти к содержанию

Зашифрованные файлы с расширением BLackShadow

AndreyMagiRus
 Share

Рекомендуемые сообщения

AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
Опубликовано

Предположительно, используя протокол RDP, злоумышленники получили доступ к нескольким ПК локальной сети (на одном из них стоял Kaspersky Security Cloud, но это его не спасло. В результате чего большинство файлов (текстовые, офисные, картинки, музыка, видео и т.д) были зашифрованы и переименованы путем добавления расширения .BLackShadow к каждому из них, ну и стандартный текстовый файлик с контактами и требованиями связаться с ними, иначе файлы пропадут и будут опубликованы в Даркнете. Компьютеры были вылечены утилитой KVRT, который обнаружил множественные заражения исполняемых файлов вирусом Virus.Win32.Neshta.a. Насколько я понимаю, именно шифрованием данный вирус не занимается, в связи с этим вопрос, как вообще узнать чем зашифрованы файлы? И каковы шансы на дешифрацию? Что можно попробовать сделать и куда обратиться с подобной проблемой, в том числе и на платной основе? Образцы зашифрованных файлов + требования злоумышленников, а также результат работы Farbar Recovery Scan Tool прилагаю. 

Addition.txt Образцы BLackShadow.7z FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

14 часов назад, AndreyMagiRus сказал:

Насколько я понимаю, именно шифрованием данный вирус не занимается

Да, это файловый вирус и часто идет "в комплекте" с вымогателем.

 

14 часов назад, AndreyMagiRus сказал:

на одном из них стоял Kaspersky Security Cloud

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Тут форум клуба и консультанты не являются сотрудниками компании.

Пока пробуем определить тип вымогателя.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Предположительно, это Proxima Ransomware.

 

17 часов назад, AndreyMagiRus сказал:

Компьютеры были вылечены утилитой KVRT

Её отчёт - папка C:\KVRT2020_Data\Reports - упакуйте в архив и прикрепите к следующему сообщению.

 

Если оформите запрос в ЛК, сообщите здесь результат переписки, пожалуйста.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
  • Автор
Опубликовано
4 часа назад, Sandor сказал:

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Благодарю, именно это я уже сделал. Лицензия на KIS имеется.

 

1 час назад, Sandor сказал:

Предположительно, это Proxima Ransomware.

 

Отлично, хоть какая-то информация, примерно понятно в какую сторону копать! Буду сейчас сам изучать вопрос, но, на ваш взгляд, какие шансы расшифровать данные не имея нужного ключа?

 

1 час назад, Sandor сказал:

Её отчёт - папка C:\KVRT2020_Data\Reports - упакуйте в архив и прикрепите к следующему сообщению.

Если оформите запрос в ЛК, сообщите здесь результат переписки, пожалуйста.

Немного ввел в заблуждение. На зараженных компах изначально запускал Kaspersky Rescue Disk с флешки, но, насколько понимаю, репорты у него и у KVRT аналогичные. Прикладываю ее отчет. Как мне ответят на запрос в ЛК, обязательно результат сообщу.

Reports.7z

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
21 минуту назад, AndreyMagiRus сказал:

какие шансы расшифровать данные не имея нужного ключа?

Весьма призрачные.

 

21 минуту назад, AndreyMagiRus сказал:

Как мне ответят на запрос в ЛК, обязательно результат сообщу.

Спасибо, ждём.

Ссылка на комментарий
Поделиться на другие сайты
AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Весьма призрачные.

Тогда есть пара вопросов... При наличия ключа расшифровка возможна или же использование комплекса алгоритмов шифрования, который используется Proxima Ransomware это путь в один конец? Или пока неизвестны подробности и сказать что-то определенное невозможно? И второй вопрос - правильно ли я понимаю, что файлы пока лучше не трогать (те, которые не срочные) до момента пока, возможно, не найдут способа дешифрации?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
12 минут назад, AndreyMagiRus сказал:

При наличия ключа расшифровка возможна

Да. Но этот ключ хранится у злоумышленников на серверах.

 

13 минут назад, AndreyMagiRus сказал:

файлы пока лучше не трогать

Если есть возможность их отложить, сделайте это.

Ссылка на комментарий
Поделиться на другие сайты
AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
  • Автор
Опубликовано
25.05.2023 в 13:30, Sandor сказал:

Спасибо, ждём.

Как и обещал, привожу ответ от Лаборатории Касперского:

 

Уважаемый пользователь!
Файлы зашифрованы Trojan-Ransom.Win32.Azadi.
Для шифрования используется криптографически стойкий алгоритм, поэтому расшифровка файлов, к сожалению, невозможна без приватного ключа злоумышленника.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      Файлы зашифрованы .Demetro9990@cock.li
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      Зашифровали файлы на ***.kasper
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
×
×
  • Создать...