Перейти к содержанию

Зашифрованные файлы с расширением BLackShadow

AndreyMagiRus
 Поделиться

Рекомендуемые сообщения

AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
Опубликовано

Предположительно, используя протокол RDP, злоумышленники получили доступ к нескольким ПК локальной сети (на одном из них стоял Kaspersky Security Cloud, но это его не спасло. В результате чего большинство файлов (текстовые, офисные, картинки, музыка, видео и т.д) были зашифрованы и переименованы путем добавления расширения .BLackShadow к каждому из них, ну и стандартный текстовый файлик с контактами и требованиями связаться с ними, иначе файлы пропадут и будут опубликованы в Даркнете. Компьютеры были вылечены утилитой KVRT, который обнаружил множественные заражения исполняемых файлов вирусом Virus.Win32.Neshta.a. Насколько я понимаю, именно шифрованием данный вирус не занимается, в связи с этим вопрос, как вообще узнать чем зашифрованы файлы? И каковы шансы на дешифрацию? Что можно попробовать сделать и куда обратиться с подобной проблемой, в том числе и на платной основе? Образцы зашифрованных файлов + требования злоумышленников, а также результат работы Farbar Recovery Scan Tool прилагаю. 

Addition.txt Образцы BLackShadow.7z FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

14 часов назад, AndreyMagiRus сказал:

Насколько я понимаю, именно шифрованием данный вирус не занимается

Да, это файловый вирус и часто идет "в комплекте" с вымогателем.

 

14 часов назад, AndreyMagiRus сказал:

на одном из них стоял Kaspersky Security Cloud

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Тут форум клуба и консультанты не являются сотрудниками компании.

Пока пробуем определить тип вымогателя.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Предположительно, это Proxima Ransomware.

 

17 часов назад, AndreyMagiRus сказал:

Компьютеры были вылечены утилитой KVRT

Её отчёт - папка C:\KVRT2020_Data\Reports - упакуйте в архив и прикрепите к следующему сообщению.

 

Если оформите запрос в ЛК, сообщите здесь результат переписки, пожалуйста.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
  • Автор
Опубликовано
4 часа назад, Sandor сказал:

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Благодарю, именно это я уже сделал. Лицензия на KIS имеется.

 

1 час назад, Sandor сказал:

Предположительно, это Proxima Ransomware.

 

Отлично, хоть какая-то информация, примерно понятно в какую сторону копать! Буду сейчас сам изучать вопрос, но, на ваш взгляд, какие шансы расшифровать данные не имея нужного ключа?

 

1 час назад, Sandor сказал:

Её отчёт - папка C:\KVRT2020_Data\Reports - упакуйте в архив и прикрепите к следующему сообщению.

Если оформите запрос в ЛК, сообщите здесь результат переписки, пожалуйста.

Немного ввел в заблуждение. На зараженных компах изначально запускал Kaspersky Rescue Disk с флешки, но, насколько понимаю, репорты у него и у KVRT аналогичные. Прикладываю ее отчет. Как мне ответят на запрос в ЛК, обязательно результат сообщу.

Reports.7z

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
21 минуту назад, AndreyMagiRus сказал:

какие шансы расшифровать данные не имея нужного ключа?

Весьма призрачные.

 

21 минуту назад, AndreyMagiRus сказал:

Как мне ответят на запрос в ЛК, обязательно результат сообщу.

Спасибо, ждём.

Ссылка на комментарий
Поделиться на другие сайты
AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Весьма призрачные.

Тогда есть пара вопросов... При наличия ключа расшифровка возможна или же использование комплекса алгоритмов шифрования, который используется Proxima Ransomware это путь в один конец? Или пока неизвестны подробности и сказать что-то определенное невозможно? И второй вопрос - правильно ли я понимаю, что файлы пока лучше не трогать (те, которые не срочные) до момента пока, возможно, не найдут способа дешифрации?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
12 минут назад, AndreyMagiRus сказал:

При наличия ключа расшифровка возможна

Да. Но этот ключ хранится у злоумышленников на серверах.

 

13 минут назад, AndreyMagiRus сказал:

файлы пока лучше не трогать

Если есть возможность их отложить, сделайте это.

Ссылка на комментарий
Поделиться на другие сайты
AndreyMagiRus Новичок

AndreyMagiRus

Опубликовано
  • Автор
Опубликовано
25.05.2023 в 13:30, Sandor сказал:

Спасибо, ждём.

Как и обещал, привожу ответ от Лаборатории Касперского:

 

Уважаемый пользователь!
Файлы зашифрованы Trojan-Ransom.Win32.Azadi.
Для шифрования используется криптографически стойкий алгоритм, поэтому расшифровка файлов, к сожалению, невозможна без приватного ключа злоумышленника.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • robocop1974
      Зашифрованные файлы
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
    • MidgardS1
      Зашифрованы файлы
      Автор MidgardS1
      Привет! Столкнулись с таким же шифровальщиком. Подскажите, есть возможность расшифровать данные?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы.
×
×
  • Создать...