proxima BlackFL зашифровали файлы

[v0ster]

Здравствуйте. Зашифровали файлы, посмотрите пжлста что можно предпринять.

Desktop.rar FRST.txt Addition.txt

[safety]

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Winlogon: [LegalNoticeCaption] BlackFL Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find BlackField-ReadMe.txt file - and follow instructions
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 AIDA64Driver; \??\C:\Program Files (x86)\FinalWire\AIDA64 Extreme\kerneld.x64 [X]
S3 vwifibus; \SystemRoot\System32\drivers\vwifibus.sys [X]
2026-04-10 03:54 - 2026-04-10 03:54 - 004147254 _____ C:\ProgramData\BFLWP.bmp
2026-04-10 03:12 - 2026-04-10 03:54 - 041788496 _____ C:\ProgramData\Cultre.dll
2026-04-10 02:50 - 2026-03-22 00:38 - 020386224 _____ (Famatech Corp. ) C:\Users\Администратор\Desktop\Advanced_Port_Scanner_2.5.3869.exe
2026-04-09 01:42 - 2026-04-09 01:42 - 021050672 _____ (Famatech Corp. ) C:\Users\Администратор\Downloads\Advanced_IP_Scanner_2.5.4594.1.exe
2026-04-10 03:12 - 2026-04-10 03:54 - 041788496 _____ () C:\ProgramData\Cultre.dll
2024-07-10 23:56 - 2024-07-11 00:00 - 000000000 _____ () C:\Users\Администратор\CNVDBFL.EXE
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

[v0ster]

Готово! 
https://disk.yandex.ru/d/2YraVLA8LblLZA - Карантин тут

Fixlog.txt

[safety]

Жаль, файл нулевого размера, хотя  наличие его нам скорее всего не помогло бы расшифровать файлы

2024-07-10 23:56 - 2024-07-11 00:00 - 000000000 _____ () C:\Users\Администратор\CNVDBFL.EXE

Если систему сканировали в KVRT, Cureit или штатным антивирусом, добавьте, пожалуйста, отчеты о сканировании,  архиве,  без пароля.

 

 

 

[v0ster]

cureit.7zВот все что есть, угроз не найдено. KVRT полный анализ 

KVRT2020_Data.rar

[safety]

Да, вижу по логам Cureit ничего не нашел

There are no infected objects detected

и KVRT не нашел, возможно что сэмпл самоудалился.

        <Block0 Type="Scan" Processed="2992" Found="0" Neutralized="0">

 

возможно что сэмпл был с именем cryptor.exe

----------

Проверьте ЛС для доп. анализа

Изменено 15 апреля пользователем safety

[safety]

С расшифровкой файлов по данному типу не сможем помочь

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);