proxima Шифровальщик BlackFL

[galant]

Добрый день, сегодня ночью зашифровали все сервера и виртуалки, а точнее диски где они находились, помогите, бекап, который был не в домене тоже зашифрован. Сеть отключил, где то эта фигня гуляет, т.к. локальный ПК пока один из 20 словил у меня на глазах тот же шифровальщик.BlackFL.zip

ПОМОГИТЕ! я видимо уволен (

BlackField-ReadMe.txt

На сервере стоял лицензионный Касперский, 3 раза уде проверил все диски, ничего не находит!

в зип архиве шифрованные файлы и требование, требование так же приложил отдельно

[galant]

только сейчас заметил, на некоторых серверах зашифровано в BlackFL3

 

 

FRST.txt

[Sandor]

Лог Addition.txt тоже добавьте, пожалуйста.

[galant]

вот, пожалуйста

Addition.txt

Это только с 1 сервера, надо с всех FRST прислать ?

Или возможно одной программой шифровали? 
Логи за собой почистили, как пошли по серверам не понятно, пароль администратора не изменен, новых пользователей не появлялось.

[Sandor]

Некоторое время подождите.

[galant]

да конечно!

[Sandor]

Пока работаем только с этим:

Цитата

Запущено с помощью Adminserj (Администратор) на VMS03 (Dell Inc. OptiPlex 7071) (24-02-2026 13:28:27)

 

Лог FRST.txt получился неполным. Переделайте, пожалуйста. Иногда создаётся впечатление, что при сканировании программа зависла, но это не так. Дождитесь полного окончания (будет соотв. сообщение).

[galant]

сейчас повторю!

 

 

скопировал, после того как программа написала что закончила 

FRST.txt Addition.txt

[Sandor]

Да, теперь полные логи.

 

Эти два файла аккуратно упакуйте в архив с паролем virus, залейте на файлообменник и дайте ссылку на скачивание здесь.

Цитата

C:\ProgramData\Cultre.dll

C:\ProgramData\Culture.dll

 

[galant]

Готово

ProgramData.zip

[Sandor]

Спасибо. Ещё некоторое время подождите.

[galant]

конечно, куда я уже с подводной лодки, пока не решу проблему не отпустят...

[safety]

Если запускали KVRT, добавьте отчеты, в архиве, без пароля, из этой папки

2026-02-24 13:16 - 2026-02-24 13:17 - 000000000 ____D C:\KVRT2020_Data

+

поищите папку Pictures, проверьте что в ней

 

Изменено 24 февраля пользователем safety

[galant]

минуту 

вот, пожалуйста 

KVRT2020_Data.zip

[safety]

KVRT ничего не обнаружил.

Цитата

<Report>
    <Metadata Version="1" PCID="{D4C34BC7-7ABD-7072-1696-269B0DD1C33F}" LastModification="2026.02.24 13:26:59.165" />
    <EventBlocks>
        <Block0 Type="Scan" Processed="6163" Found="0" Neutralized="0">
            <Event0 Action="Scan" Time="134164021171784032" Object="" Info="Started" />
            <Event1 Action="Scan" Time="134164024128993925" Object="" Info="Finished" />
        </Block0>
    </EventBlocks>
</Report>

Для доп. анализа проверьте ЛС.

 

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 25 февраля пользователем safety