proxima Шифровальщик BlackFL

[Alex F]

Добрый день.

 

Прошу помощи в расшифровке файлов зашифрованных вирусом вымогателем.

 

Архив во вложении. 

Archive.7z

[safety]

По данным специалистов - это Proxima.

 

 

Если систему сканировали KVRT, Cureit или другим антивирусом, добавьте логи сканирования, в архиве,без пароля.

Изменено 3 ноября пользователем safety

[Alex F]

Добавил отчет о сканировании KVRT.

Что дальше?

KVRT_report_2025.11.03_10.05.32.klr.7z

[safety]

Сэмл шифровальщика не найден, возможно самоудалился.

 

Задача ваша?

Цитата

Task: {5BDD2C90-CBFB-4AE0-B01B-8084CFB92CFB} - System32\Tasks\clear1CSessions => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [473600 2009-07-14] (Microsoft Windows -> Microsoft Corporation) -> -File "C:\scripts\clean_sessions_1c.ps1"

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Winlogon: [LegalNoticeCaption] BlackFL Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find BlackField_ReadMe.txt file - and follow instructions
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {7F6E6D91-C015-4135-BF9D-D3116D66959A} - System32\Tasks\npcapwatchdog => "C:\Program Files\Npcap\CheckStatus.bat"  (Нет файла)
2025-11-02 03:51 - 2025-11-02 03:51 - 004147254 _____ C:\ProgramData\LLKFTP.bmp
2025-11-02 03:51 - 2025-11-02 03:51 - 000005120 _____ C:\ProgramData\LPW5.tmp
2025-10-23 20:03 - 2023-07-13 01:03 - 020386224 _____ (Famatech Corp. ) C:\Users\admin\Documents\Advanced_Port_Scanner_2.5.3869.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 3 ноября пользователем safety

[Alex F]

Нет, именно эта задача не моя. 

 

Выполнил скрипт и прикрепил лог во вложении. 

 

Каковы мои дальнейшие действия? 

Fixlog.txt

[safety]

Тогда еще раз выполните скрипт в FRST с перезагрузкой, и новым Fixlog.txt

 

Start::
Task: {5BDD2C90-CBFB-4AE0-B01B-8084CFB92CFB} - System32\Tasks\clear1CSessions => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [473600 2009-07-14] (Microsoft Windows -> Microsoft Corporation) -> -File "C:\scripts\clean_sessions_1c.ps1"
Reboot::
End::

 

[Alex F]

Готово!

 

Что дальше? 

Fixlog2.txt

[safety]

Проверьте ЛС

 

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 4 ноября пользователем safety