proxima нужна помощь в дешефровани blackFL (есть exe и строчка с паролем из power shell)

[mutosha]

Добрый день.

 

Поймали шифровальщика "blackFL", успел скопировать строчку с паролем из открытого power shell, н арабочем столе.

"C:\Users\Администратор\Pictures>1.exe -path E:\ -pass b9ec0c541dbfd54c9af6ca6cccedaea9"

 

 

Сам "1.exe" из ""C:\Users\Администратор\Pictures"  скопировать не успел, но нашел какой-то "1.exe" на рабочем столе, приложил.

Прикладываю логи Farbar Recovery Scan Tool.

 

Прикладываю ссылку на шифрованный  файл (7.5 мегабайта, а прикрепить можно только менее 5), когда-то это был mp4 ролик, ничего меньше по размеру не нашлось.

https://transfiles.ru/j5o79

 

Файлов с требованием у меня встречаются почему-то три с разными названиями, содержимое вроде одно.

 

Очень надеюсь на помощь.

 

 

1.7z Addition_01-12-2025 00.35.40.txt FRST_01-12-2025 00.31.27.txt README_BlackFL.txt lK0kDJCSf.README.txt READ_ME.txt

[safety]

Файлов с расширением *lK0kDJCSf нет на диске E?

Раз записка lK0kDJCSf.txt есть, должны быть и файлы  *.lK0kDJCSf

судя по файлу 1.exe это был сэмпл LockbitV3Black

decryption id: "E53A8EF4F8A14AA0"
ransom ext: ".lK0kDJCSf"
ransom note name: "lK0kDJCSf.README.txt"

судя по конфигу шифрования имена файлов шифруются.

      "encrypt_filename": true,

т.е. вместо оригинальных имен будет рандомное имя.+ ".lK0kDJCSf"

 

Посмотрите, что еще есть в этой папке C:\Users\Администратор\Pictures

 

Если систему сканировали KVRT или Cureit добавьте в архиве без пароля отчеты о сканировании.

Изменено 1 декабря, 2025 пользователем safety

[mutosha]

Да, на Е нашел такие, но в основном всётаки расширение у всех вот такое *.BlackFL3 приложил два файлика с примерами с разными расширениями пароль virus

KVRT и Cureit чистые, нет никаких вирусов.

форум выдаёт 200 ошибку при прикреплении файла, вот ссылка https://transfiles.ru/i3y4s

Изменено 1 декабря, 2025 пользователем mutosha

[safety]

А на E так же есть расширение *.BlackFL3?

Данная группа использует два типа шифровальщика: LockbitV3Black и Proxima, + если получают доступ к устройствам на базе Linux, то могут еще использовать шифровальщики на базе Babuk.

 

Цитата

Посмотрите, что еще есть в этой папке C:\Users\Администратор\Pictures

 

Изменено 1 декабря, 2025 пользователем safety

[mutosha]

Да, как раз хотел ответить, там пусто, только readme... А что мы ищем? Может в других местах поискать? 

Я так понял наличие этого пароля из power shell, приимущества нам не даёт? 

[safety]

Пароль свою роль выполнил, так как сэмпл 1.exe был защищен этим паролем.

Сэмпл Proxima, который шифрует *.BlackFL3 возможно самоудалился. Раз его с огнем и сканерами не нашли.

Цитата

А что мы ищем? Может в других местах поискать? 

Иногда злоумышленники оставляют папку со своим набором инструментов.

Можно поискать исполняемые файлы, созданные на дату и время близкие к началу шифрования.

например: 1.exe, 2.exe и т.п.

+

Можно выполнить некоторую чистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-11-30 16:06 - 2025-11-30 16:06 - 000151040 _____ C:\Users\Администратор\Desktop\1.exe
Reboot::
End:

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 1 декабря, 2025 пользователем safety

[safety]

В 01.12.2025 в 11:23, safety сказал:

А что мы ищем? Может в других местах поискать? 

В этой папке проверьте что есть:

2025-11-30 22:24 - 2025-11-30 22:24 - 000000000 ____D C:\Users\Администратор\Desktop\Mimik