Перейти к содержанию

Зашифрованные файлы с расширением BLackShadow


Рекомендуемые сообщения

Предположительно, используя протокол RDP, злоумышленники получили доступ к нескольким ПК локальной сети (на одном из них стоял Kaspersky Security Cloud, но это его не спасло. В результате чего большинство файлов (текстовые, офисные, картинки, музыка, видео и т.д) были зашифрованы и переименованы путем добавления расширения .BLackShadow к каждому из них, ну и стандартный текстовый файлик с контактами и требованиями связаться с ними, иначе файлы пропадут и будут опубликованы в Даркнете. Компьютеры были вылечены утилитой KVRT, который обнаружил множественные заражения исполняемых файлов вирусом Virus.Win32.Neshta.a. Насколько я понимаю, именно шифрованием данный вирус не занимается, в связи с этим вопрос, как вообще узнать чем зашифрованы файлы? И каковы шансы на дешифрацию? Что можно попробовать сделать и куда обратиться с подобной проблемой, в том числе и на платной основе? Образцы зашифрованных файлов + требования злоумышленников, а также результат работы Farbar Recovery Scan Tool прилагаю. 

Addition.txt Образцы BLackShadow.7z FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

14 часов назад, AndreyMagiRus сказал:

Насколько я понимаю, именно шифрованием данный вирус не занимается

Да, это файловый вирус и часто идет "в комплекте" с вымогателем.

 

14 часов назад, AndreyMagiRus сказал:

на одном из них стоял Kaspersky Security Cloud

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Тут форум клуба и консультанты не являются сотрудниками компании.

Пока пробуем определить тип вымогателя.

Ссылка на сообщение
Поделиться на другие сайты

Предположительно, это Proxima Ransomware.

 

17 часов назад, AndreyMagiRus сказал:

Компьютеры были вылечены утилитой KVRT

Её отчёт - папка C:\KVRT2020_Data\Reports - упакуйте в архив и прикрепите к следующему сообщению.

 

Если оформите запрос в ЛК, сообщите здесь результат переписки, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, Sandor сказал:

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Благодарю, именно это я уже сделал. Лицензия на KIS имеется.

 

1 час назад, Sandor сказал:

Предположительно, это Proxima Ransomware.

 

Отлично, хоть какая-то информация, примерно понятно в какую сторону копать! Буду сейчас сам изучать вопрос, но, на ваш взгляд, какие шансы расшифровать данные не имея нужного ключа?

 

1 час назад, Sandor сказал:

Её отчёт - папка C:\KVRT2020_Data\Reports - упакуйте в архив и прикрепите к следующему сообщению.

Если оформите запрос в ЛК, сообщите здесь результат переписки, пожалуйста.

Немного ввел в заблуждение. На зараженных компах изначально запускал Kaspersky Rescue Disk с флешки, но, насколько понимаю, репорты у него и у KVRT аналогичные. Прикладываю ее отчет. Как мне ответят на запрос в ЛК, обязательно результат сообщу.

Reports.7z

Ссылка на сообщение
Поделиться на другие сайты
21 минуту назад, AndreyMagiRus сказал:

какие шансы расшифровать данные не имея нужного ключа?

Весьма призрачные.

 

21 минуту назад, AndreyMagiRus сказал:

Как мне ответят на запрос в ЛК, обязательно результат сообщу.

Спасибо, ждём.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Весьма призрачные.

Тогда есть пара вопросов... При наличия ключа расшифровка возможна или же использование комплекса алгоритмов шифрования, который используется Proxima Ransomware это путь в один конец? Или пока неизвестны подробности и сказать что-то определенное невозможно? И второй вопрос - правильно ли я понимаю, что файлы пока лучше не трогать (те, которые не срочные) до момента пока, возможно, не найдут способа дешифрации?

Ссылка на сообщение
Поделиться на другие сайты
12 минут назад, AndreyMagiRus сказал:

При наличия ключа расшифровка возможна

Да. Но этот ключ хранится у злоумышленников на серверах.

 

13 минут назад, AndreyMagiRus сказал:

файлы пока лучше не трогать

Если есть возможность их отложить, сделайте это.

Ссылка на сообщение
Поделиться на другие сайты
25.05.2023 в 13:30, Sandor сказал:

Спасибо, ждём.

Как и обещал, привожу ответ от Лаборатории Касперского:

 

Уважаемый пользователь!
Файлы зашифрованы Trojan-Ransom.Win32.Azadi.
Для шифрования используется криптографически стойкий алгоритм, поэтому расшифровка файлов, к сожалению, невозможна без приватного ключа злоумышленника.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Vicrius
      От Vicrius
      Добрый день!
      Утром все файлы на компе зашифрованы с раширением .hercul
      Не могу понять чем зашифровали.
      И такой текстовый файл лежит в каждой папке. Hercul_help.txt  c содержанием
      IF YOU SEE THIS PAGE, IT MEANS THAT YOUR SERVER AND COMPUTERS ARE ENCRYPTED.
      # In subject line please write your personal ID
      7800FA92D77AEB05
      # What is the guarantee that we will not cheat you?
      Send us a small encrypted file to the listed emails.
      (The files must be in a common format, such as: doc-excel-pdf-jpg)
      We will decrypt these files and send them back to you as evidence.
      This notification shows that your system has been hacked.
      They are unavailable because the file structure has been altered to an unreadable format.
      and your data locked with the Hercul suffix.
      and Your vital information, such as databases, financial/developmental, accounting, and strategic papers has been downloaded.

      Contact us:
      Email 1 : Jack2009@skiff.com
      Email 2 : Jack2009@Cyberfear.com
    • morose
      От morose
      У меня есть этот файл, подскажите как отправить вам
       
      Сообщение от модератора kmscom Сообщение вынесено из темы Вирус-шифровальщик [blankqq@tuta.io].elpy  
    • 13asx13
      От 13asx13
      Добрый день, на сервере зашифровались все файлы. Появились текстовые файлы с содержимым:
      Electronic Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : electronicrans@gmail.com              and            electronicrans@outlook.com
      Telegram id:@mgam161
      Your Decryption ID: *************
      На момент заражения на сервере был запущен Kaspersky Endpoint Security.
      Прошу помощи в решении проблемы.
    • sabo
      От sabo
      Добрый день поймал шифровальщика на ПК, скорее всего взлом по РДП
      1.rar
    • milanich
      От milanich
      Electronic Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : electronicrans@gmail.com              and            electronicrans@outlook.com
      Telegram id:@mgam161
      Your Decryption ID: ACB547E*****
       
       
      Здравствуйте, вот такой файлик появился в каждой папке. Каждый файл получил разрешение типа 
      appworkshop_570.acf.1544524742.tmp.EMAIL=[electronicrans@gmail.com]ID=[ACB547E******]
       
      Просьба подсказать, что делать в данном случае.
×
×
  • Создать...