scarab Файлы зашифрованы ".black"

[Madjack71]

Добрый день!

 

Файлы на компе зашифрованы .black

 

Прикладываю файлы FRST64, Пару зашифрованных файлов и требования злоумышленников.

 

Помогите, данные очень важны!

FRST 64.zip

Инструкция по расшифровке файлов black.zip

[Sandor]

Здравствуйте!

 

Заражение произошло на том же компьютере, с которого сняты логи?

 

Тип вымогателя Scarab, для некоторых его версий у ЛК есть инструмент.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

[Madjack71]

Да, заражение произошло на том же компьютере, с которого сняты логи.

Запрос ЛК я написал.

[Sandor]

Странно, потому что следов заражения не видно.

 

Запрос ЛК я написал

Результат сообщите здесь, пожалуйста.

[Madjack71]

У меня диск C - SSD без следов шифрования, D - жёсткий диск с зашифрованными файлами, раздел E на этом диске тоже не затронуло. Причём в основном файлы только из одной самой часто используемой папки были зашифрованы.

А посмотрите логи ещё из этого архива, это с другого компьютера у нас. Он подвергся аналогичной атаке. У меня есть подозрения, что был взломан он, а моя папка была расшарена по сети для этого компьютера. Файлы прилагаю. Ещё в файле с требованиями указан один и тот же идентификатор.

Addition.zip

[Sandor]

Да, это и есть жертва.

D - жёсткий диск с зашифрованными файлами

Вероятно был доступ по сети.

 

На этом втором компьютере смените пароль на RDP и на Chrome Remote Desktop Host.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-618769476-3943548362-4286173204-1001\...\Run: [rFilejsMFjPlj] => C:\Users\Alex Sq\Инструкция по расшифровке файлов black.TXT [3330 2020-02-04] () [File not signed]
  HKU\S-1-5-21-618769476-3943548362-4286173204-1001\...\MountPoints2: {701c2465-4b7b-11e9-bea8-902b34dc211e} - "G:\HiSuiteDownLoader.exe" 
  C:\Users\Alex Sq\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
  2020-02-03 23:50 - 2020-02-04 05:04 - 000003330 _____ C:\Users\Alex Sq\Инструкция по расшифровке файлов black.TXT
  2020-02-03 23:50 - 2020-02-04 05:04 - 000003330 _____ C:\Users\Alex Sq\Desktop\Инструкция по расшифровке файлов black.TXT
  2020-02-03 23:50 - 2020-02-03 23:50 - 000003330 _____ C:\Users\Alex Sq\Downloads\Инструкция по расшифровке файлов black.TXT
  2020-02-03 23:50 - 2020-02-03 23:50 - 000003330 _____ C:\Users\Alex Sq\Documents\Инструкция по расшифровке файлов black.TXT
  2020-02-03 23:22 - 2020-02-03 23:22 - 000003330 _____ C:\Инструкция по расшифровке файлов black.TXT
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[almos]

В пятницу 31.01.2020 взломали нашу систему через RDP. Было поражено три компьютера. Просили 0.2 биткоина, когда узнали что нужно три дешифратора запросили 0.25. деньги им перевели . Через сутки прислали три дешифратора и один из них не работает. После высылки дешифраторов перестали отвечать на письма. Третий дешифратор не работает вообще, не содержит ключей дешифрации. Лаборатория Касперского сказала что расшифровка не возможна. Madjack71 видимо следующая жертва этих вымогателей. мы связывались с black20@cock.li . Напишите пожалуйста e-mail из Вашего сообщения "Инструкция по расшифровке файлов black.txt"

Может нам удастся связаться с вымогателями по новому адресу. судя по всему они бросают адрес после высылки дешифратора или как они написали "У них много работы в понедельник".

 

Сообщение от модератора

У вас нет прав отвечать в этом разделе форума! Если нужна помощь, создайте свою тему.

Изменено 5 февраля, 2020 пользователем Sandor
Предупреждение