Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Зашифрованные файлы с расширением BLackShadow

AndreyMagiRus
 Поделиться

Рекомендуемые сообщения

AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
Опубликовано

Предположительно, используя протокол RDP, злоумышленники получили доступ к нескольким ПК локальной сети (на одном из них стоял Kaspersky Security Cloud, но это его не спасло. В результате чего большинство файлов (текстовые, офисные, картинки, музыка, видео и т.д) были зашифрованы и переименованы путем добавления расширения .BLackShadow к каждому из них, ну и стандартный текстовый файлик с контактами и требованиями связаться с ними, иначе файлы пропадут и будут опубликованы в Даркнете. Компьютеры были вылечены утилитой KVRT, который обнаружил множественные заражения исполняемых файлов вирусом Virus.Win32.Neshta.a. Насколько я понимаю, именно шифрованием данный вирус не занимается, в связи с этим вопрос, как вообще узнать чем зашифрованы файлы? И каковы шансы на дешифрацию? Что можно попробовать сделать и куда обратиться с подобной проблемой, в том числе и на платной основе? Образцы зашифрованных файлов + требования злоумышленников, а также результат работы Farbar Recovery Scan Tool прилагаю. 

Addition.txtПолучение информации... Образцы BLackShadow.7zПолучение информации... FRST.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

  В 24.05.2023 в 15:16, AndreyMagiRus сказал:

Насколько я понимаю, именно шифрованием данный вирус не занимается

Показать  

Да, это файловый вирус и часто идет "в комплекте" с вымогателем.

 

  В 24.05.2023 в 15:16, AndreyMagiRus сказал:

на одном из них стоял Kaspersky Security Cloud

Показать  

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Тут форум клуба и консультанты не являются сотрудниками компании.

Пока пробуем определить тип вымогателя.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Предположительно, это Proxima Ransomware.

 

  В 24.05.2023 в 15:16, AndreyMagiRus сказал:

Компьютеры были вылечены утилитой KVRT

Показать  

Её отчёт - папка C:\KVRT2020_Data\Reports - упакуйте в архив и прикрепите к следующему сообщению.

 

Если оформите запрос в ЛК, сообщите здесь результат переписки, пожалуйста.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
  • Автор
Опубликовано
  В 25.05.2023 в 05:49, Sandor сказал:

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Показать  

Благодарю, именно это я уже сделал. Лицензия на KIS имеется.

 

  В 25.05.2023 в 08:36, Sandor сказал:

Предположительно, это Proxima Ransomware.

 

Показать  

Отлично, хоть какая-то информация, примерно понятно в какую сторону копать! Буду сейчас сам изучать вопрос, но, на ваш взгляд, какие шансы расшифровать данные не имея нужного ключа?

 

  В 25.05.2023 в 08:36, Sandor сказал:

Её отчёт - папка C:\KVRT2020_Data\Reports - упакуйте в архив и прикрепите к следующему сообщению.

Если оформите запрос в ЛК, сообщите здесь результат переписки, пожалуйста.

Показать  

Немного ввел в заблуждение. На зараженных компах изначально запускал Kaspersky Rescue Disk с флешки, но, насколько понимаю, репорты у него и у KVRT аналогичные. Прикладываю ее отчет. Как мне ответят на запрос в ЛК, обязательно результат сообщу.

Reports.7zПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  В 25.05.2023 в 10:08, AndreyMagiRus сказал:

какие шансы расшифровать данные не имея нужного ключа?

Показать  

Весьма призрачные.

 

  В 25.05.2023 в 10:08, AndreyMagiRus сказал:

Как мне ответят на запрос в ЛК, обязательно результат сообщу.

Показать  

Спасибо, ждём.

Ссылка на комментарий
Поделиться на другие сайты
AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
  • Автор
Опубликовано
  В 25.05.2023 в 10:30, Sandor сказал:

Весьма призрачные.

Показать  

Тогда есть пара вопросов... При наличия ключа расшифровка возможна или же использование комплекса алгоритмов шифрования, который используется Proxima Ransomware это путь в один конец? Или пока неизвестны подробности и сказать что-то определенное невозможно? И второй вопрос - правильно ли я понимаю, что файлы пока лучше не трогать (те, которые не срочные) до момента пока, возможно, не найдут способа дешифрации?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  В 25.05.2023 в 11:59, AndreyMagiRus сказал:

При наличия ключа расшифровка возможна

Показать  

Да. Но этот ключ хранится у злоумышленников на серверах.

 

  В 25.05.2023 в 11:59, AndreyMagiRus сказал:

файлы пока лучше не трогать

Показать  

Если есть возможность их отложить, сделайте это.

Ссылка на комментарий
Поделиться на другие сайты
AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
  • Автор
Опубликовано
  В 25.05.2023 в 10:30, Sandor сказал:

Спасибо, ждём.

Показать  

Как и обещал, привожу ответ от Лаборатории Касперского:

 

Уважаемый пользователь!
Файлы зашифрованы Trojan-Ransom.Win32.Azadi.
Для шифрования используется криптографически стойкий алгоритм, поэтому расшифровка файлов, к сожалению, невозможна без приватного ключа злоумышленника.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Андрюс
      Файлы зашифрованы с расширением vTEyZg5DZ
      Автор Андрюс
      Получили по почте письмо, открыли его и сразу произошла шифровка всех документов. Прилагаем требуемые файлы
      x1.rar
      Скажите возможно ли расшифровать?
    • MidgardS1
      Зашифрованы файлы
      Автор MidgardS1
      Привет! Столкнулись с таким же шифровальщиком. Подскажите, есть возможность расшифровать данные?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы.
    • Иван Иванович Ивановский
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      Автор Иван Иванович Ивановский
      сегодня утром зашифровал все файлы
      часть данных у меня были на флешке, есть исходные, не зашифрованные файлы - положил их тоже в архив
      что это за тип шифровальщика, возможна ли расшифровка?
      и с компом чего теперь делать, возможно ли очистить и работать дальше или лучше все отформатировать и переустановить ?
       
      архив и логи FRST прилагаю
      Архив.7z Addition.txt FRST.txt
    • Александр Щепочкин
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      Автор Александр Щепочкин
      Добрый день, такое же и у меня случилось,  с таким же расширением, никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы вод или экселя. Кидаю пример файла и текст с выкупом
      6iENBa2rG.README.txt Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Шифровальщик зашифровал файлы расширение .6iENBa2rG
    • DennisKo
      Зашифровали файлы расширение ANDRE
      Автор DennisKo
      Помогите в расшифровке. Файлы kl_to_1C.txt это оригинал файла, а kl_to_1C_crypt.txt ' это зашифрованный файл. andre 
      может поможет в понимании как зашифровали. 

      Addition.txt Andrews_Help.txt FRST.txt kl_to_1c.txt kl_to_1c_crypt.txt
×
×
  • Создать...