proxima BlackFL зашифровал файловый сервер

[gfond]

Здравствуйте. Зашифровали файлы, посмотрите пожалуйста что можно предпринять.

Заражены в локалке два компьютера одновременно. Рабочая станция послужила источником заражения файлсервера под управлением Win10Pro. 

 Файлсервер после заражения перезагружался несколько раз, файлы вирусы касперским помещены в карантин(могу предоставить), однако шифрование произошло.

Ниже логи согласно инструкции с файлсервера

 

Docs_plus_redmeBlackField.zip FRST.txt Addition.txt

[safety]

Этот файл проверьте на Virustotal.com и дайте ссылку на линк проверки.

2026-04-12 08:05 - 2026-03-22 00:38 - 020386224 _____ (Famatech Corp. ) C:\Users\Администратор\Desktop\ad.exe
Если файл известен вам - можно не проверять.

 

Цитата

вирусы касперским помещены в карантин(могу предоставить)

Добавьте в архиве без пароля отчет Касперского по обнаружениям и сканированию.

+

Добавьте обнаруженные файлы в архив с паролем virus, загрузите архив на облачный диск. дайте ссылку здесь на скачивание.

 

 

 

[gfond]

Файл не знакомый, проверил на вирустотал, вот линк отчета https://www.virustotal.com/gui/file/d0c1662ce239e4d288048c0e3324ec52962f6ddda77da0cb7af9c1d9c2f1e2eb

 

ссылка на скачивание запароленного вируса

 

во вложении отчет Касперского

AVP_report.zip

Изменено 14 апреля пользователем safety
Файл загружен, ссылка удалена

[safety]

Судя по логу AVP этот файл

Сегодня, 14.04.2026 15:36:19;C:\Users\Администратор\Desktop\cryptor.exe; является шифровальщиком, проверю его немного позже. остальные найденные файлы, в том числе и ad.exe - это вспомогательные инструменты злоумышленников. ad.exe удалите вручную.   Для доп. анализа проверьте ЛС

[gfond]

вспомогательные инструменты удалил.

Шифровальщик , ага, он так и называется

В ЛС ответил

[safety]

По второму ПК:

 

по очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Winlogon: [LegalNoticeCaption] BlackFL Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find BlackField-ReadMe.txt file - and follow instructions
S2 AmmyyAdmin; "E:\instal\AA_v3 (1).exe" -service [X]
2026-04-13 22:26 - 2026-04-13 22:26 - 004147254 _____ C:\ProgramData\BFLWP.bmp
2026-04-13 22:20 - 2026-04-13 22:26 - 005920144 _____ C:\ProgramData\Cultre.dll
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[safety]

В 14.04.2026 в 14:09, safety сказал:

Судя по логу AVP этот файл

Сегодня, 14.04.2026 15:36:19;C:\Users\Администратор\Desktop\cryptor.exe; является шифровальщиком, проверю его немного позже.

Судя по некоторым детектам:

Журнал
E:\temp\cryptor.1exe - модифицированный Win32/Filecoder.ONI троянская программа - сохранено

https://www.virustotal.com/gui/file/6d9183610ae017b1dc0d74ee05bf043211a266c63b1916c75ef0c2f885ada040?nocache=1

 

Это из семейства Proxima.

Изменено 15 апреля пользователем safety

[gfond]

17 часов назад, safety сказал:

По второму ПК:

 

по очистке системы:

 

Выполнить очистку в FRST

===cut===

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Fixlog.txt

[safety]

С расшифровкой файлов по данному типу не сможем помочь

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[gfond]

Спасибо за сотрудничество. тему можно закрыть.