lockbit v3 black BlackFL

[Сергей__]

Зашифровались файлы BlackFL

есть дешифратор?

TNI.zip

[safety]

Добавьте, пожалуйста, логи FRST согласно правилам.

Есди систему сканировали KVRT, Cureit или штатным антивирусом добавьте отчеты о сканировании, в архиве, без пароля.

[Сергей__]

прикрепляю

Addition.txt FRST.txt

[safety]

Если систему сканировали KVRT, Cureit или штатным антивирусом добавьте отчеты о сканировании, в архиве, без пароля.

---------

по логам у вас записка о выкупе:

2025-09-07 00:26 - 2025-09-07 00:26 - 000002868 _____ () C:\Program Files\BlackField_ReadMe.txt

откуда эта записка из архива TNI?:

LdvwnvZ6I.README.txt

 

Изменено 8 сентября пользователем safety

[Сергей__]

извиняюсь, записку не с той машины взял. к сожалению не одна пострадала

прикрепляю логи и записку

cureit.log

BlackField_ReadMe.txt

Изменено 8 сентября пользователем Сергей__

[safety]

Возможно что шифрование на ваших устройствах было двумя типами: BlackFl и Lockbit v3 Black.

Кроме программы для удаленног доступа

C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe - infected - 242ms, 22038784 bytes

что еще было найдено из вредоносных программ?

 

Изменено 8 сентября пользователем safety

[Сергей__]

да, ранее и удалено сразу. есть сохраненная копия в архив. каким образом прислать?

[safety]

Загрузите архив с паролем virus на облачный диск и дайте ссылку на скачивание в ЛС.

[Сергей__]

4 часа назад, safety сказал:

Загрузите архив с паролем virus на облачный диск и дайте ссылку на скачивание в ЛС.

Отправлено

Изменено 9 сентября пользователем safety
Исправлено

[safety]

Судя по архиву злоумышленники принесли с собой "чемодан" с заготовленными шифровальщиками Lockbit V3 Black.

Но скорее всего они защищены паролем, так что не сможем посмотреть конфигурацию сэмплов. 

Чуть позже сегодня проверю.

Crypter.exe

ESET-NOD32 A Variant Of Win64/Filecoder.BlackField.A

или #Proxima / #BlackShadow #Ransomware

https://www.virustotal.com/gui/file/9f66af5c1e09535d43de5713a3c1d8130e12f8981d1066777f025cf24d963bdc?nocache=1

остальной набор 1*exe:

ESET-NOD32 A Variant Of Win32/Filecoder.BlackMatter.K т.е. Lockbiit V3Black

https://www.virustotal.com/gui/file/e4a97e1990fad019f2ef610813c1a0076aa1c07ce5e3362e4aa7a8fa75e5d1a0?nocache=1

 

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Изменено 10 сентября пользователем safety