Перейти к содержанию

BlackFL

Сергей__
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано

Добавьте, пожалуйста, логи FRST согласно правилам.

Есди систему сканировали KVRT, Cureit или штатным антивирусом добавьте отчеты о сканировании, в архиве, без пароля.

safety

safety

Опубликовано
Опубликовано (изменено)

Если систему сканировали KVRT, Cureit или штатным антивирусом добавьте отчеты о сканировании, в архиве, без пароля.

---------

по логам у вас записка о выкупе:

2025-09-07 00:26 - 2025-09-07 00:26 - 000002868 _____ () C:\Program Files\BlackField_ReadMe.txt

откуда эта записка из архива TNI?:

LdvwnvZ6I.README.txt

 

Изменено пользователем safety
Сергей__

Сергей__

Опубликовано
  • Автор
Опубликовано (изменено)

извиняюсь, записку не с той машины взял. к сожалению не одна пострадала

прикрепляю логи и записку

cureit.log

BlackField_ReadMe.txt

Изменено пользователем Сергей__
safety

safety

Опубликовано
Опубликовано (изменено)

Возможно что шифрование на ваших устройствах было двумя типами: BlackFl и Lockbit v3 Black.

Кроме программы для удаленног доступа

C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe - infected - 242ms, 22038784 bytes

что еще было найдено из вредоносных программ?

 

Изменено пользователем safety
Сергей__

Сергей__

Опубликовано
  • Автор
Опубликовано

да, ранее и удалено сразу. есть сохраненная копия в архив. каким образом прислать?

safety

safety

Опубликовано
Опубликовано

Загрузите архив с паролем virus на облачный диск и дайте ссылку на скачивание в ЛС.

Сергей__

Сергей__

Опубликовано
  • Автор
Опубликовано (изменено)
4 часа назад, safety сказал:

Загрузите архив с паролем virus на облачный диск и дайте ссылку на скачивание в ЛС.

Отправлено

Изменено пользователем safety
Исправлено
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по архиву злоумышленники принесли с собой "чемодан" с заготовленными шифровальщиками Lockbit V3 Black.

Но скорее всего они защищены паролем, так что не сможем посмотреть конфигурацию сэмплов. 

Чуть позже сегодня проверю.

Crypter.exe

ESET-NOD32 A Variant Of Win64/Filecoder.BlackField.A

https://www.virustotal.com/gui/file/9f66af5c1e09535d43de5713a3c1d8130e12f8981d1066777f025cf24d963bdc?nocache=1

остальной набор 1*exe:

ESET-NOD32 A Variant Of Win32/Filecoder.BlackMatter.K т.е. Lockbiit V3Black

https://www.virustotal.com/gui/file/e4a97e1990fad019f2ef610813c1a0076aa1c07ce5e3362e4aa7a8fa75e5d1a0?nocache=1

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KOHb39
      Шифровальщик blackFL
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
    • Влад1810
      Шифровальщик blackFL
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
    • Restinn
      Шифровальщик blackFL
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
    • Restinn
      Прислали расшифровщик @gotached, .BlackFL
      Автор Restinn
      Добрый день. По другой теме, где @gotached, заплатили за расшифровку
      Приписка у файлов, что в той теме, что моей прошлой .BlackFL
      Может как-то поможет экзешник расшифровщика, который прислали вымогатели?

      Пароль на архиве: virus
      decryptor.rar
×
×
  • Создать...