blackhunt2.0 blackhunt зашифровал сервера и несколько ПК

[shadow1406]

Доброго дня коллеги, утром пришел на работу а тут все сервера и несколько ПК зашифрованы и в безопасном режиме.

проверка через KVRT.exe на компах ничего не находит, хотя в корне диска C явно лежит зловредный исполняемый файл с названием x.exe и ярлыком сетевого подключения...

ниже текст из сообщения в текстовом файле.

также в приложении архив с паролем 1 там файл ключа и текстовый файл с сообщением от вредителей...

 

 

As you can see we have penetrated your whole network due some critical network insecurities
All of your files such as documents, dbs and... Are encrypted and we have uploaded many important data from your machines,
and believe we us we know what should we collect.

However you can get your files back and make sure your data is safe from leaking by contacting us using following details :

Primary email :unlockersup@mail2tor.co

Secondary [Tox](backup  in case we didn't answer you in 24h) TOX :FE34411808DFAEA6E3A5C864C94AF6B995CDA61A9A4ABFCCA44480B642738A6A898D10B16EE1

Your machine Id : c6tzCeeG0gL3FtDL 
use this as the title of your email

(Remember, if we don't hear from you for a while, we will start leaking data)

#BlackHunt_Private.zip

[thyrex]

Здравствуйте.

 

Выполните Правила оформления запроса о помощи и прикрепите всё необходимое к следующему сообщению в текущей теме.

[safety]

14 часов назад, shadow1406 сказал:

хотя в корне диска C явно лежит зловредный исполняемый файл с названием x.exe и ярлыком сетевого подключения...

+

Добавьте в архиве с паролем virus данный файл + вопрос: на ПК под W шифрование было так же *Hunt* или другое?

Сервера (виртуальные машины?) были зашифрованы под W или под Линукс?

Вообщем, подробнее опишите ситуацию. Что было зашифровано, чем предположительно было зашифровано, добавьте примеры зашифрованных файлов.

Изменено 3 сентября пользователем safety

[shadow1406]

Добрый день.

архив с зловредом и ключами в приложении. пароль так-же "1"

зашифрованы и виртуальные и железные сервера под Windows, все что на Linux подобных системах работает исправно. все сервера и ПК что были зашифрованны находились в безопасном режиме.

с предоставлением зашифрованных файлов проблема, в данный момент все сервера отключены... позже пришлю.

зашифровано на сколько я понимаю BlackHunt ом, все документы, базы 1С, диски виртуальных серверов что были на Hyper-V. системные файлы.

злоумышленники требуют 1 BTC.

благо бэкапы есть живые но не все...

есть еще одна папка но она весит 8 мегабайт в архиве с максимальны сжатием, как-бы его передать(может на облако загрузить и сюда ссылку?)?. (создалась предположительно перед шифрованием и судя по всему для загрузки системы в безопасный режим...) 

 

#BlackHunt_Private_2.zip

[safety]

Похоже, что это настоящий BlackHunt v2

шаблон зашифрованного файла, размер ключа совпадают

по файлу z.exe - это не шифровальщик, судя по VT утилита по удаленному доступу.

https://www.virustotal.com/gui/file/9e6cfb828769d612dde3a3cfeda54b842ce4da6e8c850c294a15087eb8bdd518/detection

Цитата

есть еще одна папка но она весит 8 мегабайт в архиве с максимальны сжатием, как-бы его передать(может на облако загрузить и сюда ссылку?)?.

Можно так.

Изменено 3 сентября пользователем safety

[shadow1406]

27 минут назад, safety сказал:

Похоже, что это настоящий BlackHunt v2

шаблон зашифрованного файла, размер ключа совпадают

по файлу z.exe - это не шифровальщик, судя по VT утилита по удаленному доступу.

https://www.virustotal.com/gui/file/9e6cfb828769d612dde3a3cfeda54b842ce4da6e8c850c294a15087eb8bdd518/detection

Можно так.

https://cloud.mail.ru/public/XuFF/XQbxve6fj   по ссылке архив с паролем "1"

[safety]

Похоже на сторонний загрузчик.

Изменено 3 сентября пользователем safety

[shadow1406]

 

В 04.09.2025 в 01:43, safety сказал:

Похоже на сторонний загрузчик.

нсь добраться до зашифрованных файлов. лежит в  приложении с другого ПК также с паролем 1 и требованиями шифров

Bad.7z

[safety]

Проверьте ЛС.