blackhunt Шифровальщик BlackHunt 2

[Sasha_sato]

Добрый день. Прошу помощи в расшифровке файлов после атаки шифровальщика BlackHunt 2

Были зашифрованы диски виртуальных машин размещенных на ESXI. Злоумышленникам удалось пробраться во внутрь сети, подобрать пароль root включить ssh и выполнить шифрование.
Так же зашифрованы бэкапы veam
Во вложение отчет Farbar Recovery Scan Tool с сервера бэкапов и зашифрованные файлы с ReadMe
KES установлен уже после зашифровки на сервер
Файлов шифровальщика не нашел
По рабочим станция был распространен MeshAgent, но KES отработал на него

 

Отчет.rar BlackHunt.rar

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] WARNING WARNING WARNING.  
HKLM\...\Policies\system: [legalnoticetext]  Your Network Infected With BlackHunt Ransomware Team.   ALL Your important Files Encrypted and Stolen ,   
2025-08-31 15:24 - 2025-09-02 09:55 - 000000000 ____D C:\Program Files\Mesh Agent
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[Sasha_sato]

Не совсем понял какой скрипт и куда копируем.
После нажатия  исправить FRST система перезагрузилась. Банер при входе не появился.
Файл fixlog во вложение.

Но я так понимаю дешифратора нет?

Fixlog.txt

[safety]

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);