Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Файлы зашифрованы ".black"

Madjack71
 Поделиться

Рекомендуемые сообщения

Madjack71

Madjack71

Опубликовано
Опубликовано

Добрый день!

 

Файлы на компе зашифрованы .black

 

Прикладываю файлы FRST64, Пару зашифрованных файлов и требования злоумышленников.

 

Помогите, данные очень важны!

FRST 64.zip

Инструкция по расшифровке файлов black.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Заражение произошло на том же компьютере, с которого сняты логи?

 

Тип вымогателя Scarab, для некоторых его версий у ЛК есть инструмент.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Madjack71

Madjack71

Опубликовано
  • Автор
Опубликовано

Да, заражение произошло на том же компьютере, с которого сняты логи.

Запрос ЛК я написал.

Sandor

Sandor

Опубликовано
Опубликовано

Странно, потому что следов заражения не видно.

 

Запрос ЛК я написал

Результат сообщите здесь, пожалуйста.
Madjack71

Madjack71

Опубликовано
  • Автор
Опубликовано

У меня диск C - SSD без следов шифрования, D - жёсткий диск с зашифрованными файлами, раздел E на этом диске тоже не затронуло. Причём в основном файлы только из одной самой часто используемой папки были зашифрованы.


А посмотрите логи ещё из этого архива, это с другого компьютера у нас. Он подвергся аналогичной атаке. У меня есть подозрения, что был взломан он, а моя папка была расшарена по сети для этого компьютера. Файлы прилагаю. Ещё в файле с требованиями указан один и тот же идентификатор.

Addition.zip

Sandor

Sandor

Опубликовано
Опубликовано

Да, это и есть жертва.

D - жёсткий диск с зашифрованными файлами

Вероятно был доступ по сети.

 

На этом втором компьютере смените пароль на RDP и на Chrome Remote Desktop Host.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-618769476-3943548362-4286173204-1001\...\Run: [rFilejsMFjPlj] => C:\Users\Alex Sq\Инструкция по расшифровке файлов black.TXT [3330 2020-02-04] () [File not signed]
HKU\S-1-5-21-618769476-3943548362-4286173204-1001\...\MountPoints2: {701c2465-4b7b-11e9-bea8-902b34dc211e} - "G:\HiSuiteDownLoader.exe" 
C:\Users\Alex Sq\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
2020-02-03 23:50 - 2020-02-04 05:04 - 000003330 _____ C:\Users\Alex Sq\Инструкция по расшифровке файлов black.TXT
2020-02-03 23:50 - 2020-02-04 05:04 - 000003330 _____ C:\Users\Alex Sq\Desktop\Инструкция по расшифровке файлов black.TXT
2020-02-03 23:50 - 2020-02-03 23:50 - 000003330 _____ C:\Users\Alex Sq\Downloads\Инструкция по расшифровке файлов black.TXT
2020-02-03 23:50 - 2020-02-03 23:50 - 000003330 _____ C:\Users\Alex Sq\Documents\Инструкция по расшифровке файлов black.TXT
2020-02-03 23:22 - 2020-02-03 23:22 - 000003330 _____ C:\Инструкция по расшифровке файлов black.TXT
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

almos

almos

Опубликовано
Опубликовано (изменено)

В пятницу 31.01.2020 взломали нашу систему через RDP. Было поражено три компьютера. Просили 0.2 биткоина, когда узнали что нужно три дешифратора запросили 0.25. деньги им перевели . Через сутки прислали три дешифратора и один из них не работает. После высылки дешифраторов перестали отвечать на письма. Третий дешифратор не работает вообще, не содержит ключей дешифрации. Лаборатория Касперского сказала что расшифровка не возможна. Madjack71 видимо следующая жертва этих вымогателей. мы связывались с black20@cock.li . Напишите пожалуйста e-mail из Вашего сообщения "Инструкция по расшифровке файлов black.txt"

Может нам удастся связаться с вымогателями по новому адресу. судя по всему они бросают адрес после высылки дешифратора или как они написали "У них много работы в понедельник".

 

Сообщение от модератора
У вас нет прав отвечать в этом разделе форума! Если нужна помощь, создайте свою тему.
Изменено пользователем Sandor
Предупреждение

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kazak89
      Шифровальщик *.scarab
      Автор kazak89
      Добрый день!
      Прошу прощения, но тот же компьютер снова зашифровали
       
      Прошу помощи
       
       
      CollectionLog-2017.12.13-20.00.zip
      Инструкция по расшифровке.TXT
    • asarus
      Файлы с разрешение .scarab, текстовый файл с запугивающим текстом
      Автор asarus
      Здравствуйте!
       
      Имеем сервер  с ОС windows server 2008 + 1С, пользователи подключаются по RDP.
       
      Сегодня на рабочем столе обнаружили файл "Инструкции по расшифровке.txt" (во вложении) с угрозами, что все удалится, если не перевести деньги. Так же было замечено, что многие файлы поменяли разрешение на .scarab (пример файла в архиве прикреплен).
       
      На сервере много нужных баз данных, а последний бекап был сделан на HDD, который в свою очередь был подключен к серверу в момент заражения и вероятнее всего поврежден.
       
      1C на данным момент работает, видимых проблем пока не обнаружено.
       
      Только что скачан Kaspersky Virus Removal Tool. Он обнаружил 2 опасности и нейтрализовал их (скрины во вложении).
       
      Логи приложил.
       
      Осталась ли какая то опасность в системе ? Будет ли система дальше исправно работать? Возможно ли как-то расшифровать файлы с разрешение .scarab?
       
      На всех ПК подключаемых в серверу стоит KIS проблем и похожих симптомов у них нет. На сервере же по убеждению программистов 1с антивирус не требовался и замедлял бы работу. Руководствуясь этими доводами антивирусное ПО на сервер не ставилось.
       
      Спасибо.
       




      virusinfo_syscheck.zip
      Инструкция по расшифровке.TXT
      Настройка сертификата для 1C.doc.zip
    • Leoni_d
      Файлы зашифрованы, помогите почистить от мусора
      Автор Leoni_d
      День добрый,
       
      зашифровались файлы , понимаю что вернуть бесполезно , но хотелось ты избавится от заразы
       
    • kirill2323
      .scarab vol. 2
      Автор kirill2323
      День добрый.
      В продолжение https://forum.kasperskyclub.ru/index.php?showtopic=57739
      Нашел таки я компьютер зараженный. Тему перенесенную в беседку удалите пожалуйста.
      Вобщем .scarab зашифровал раб стол и документы полностью. Проверил куреит'ом. 8 файлов обезврежено.
       
       
      CollectionLog-2017.11.24-10.22.zip
    • Pavel Seregin
      Словили шифровальщик scarab
      Автор Pavel Seregin
      Здравствуйте, поймали вирус-шифровальщик, зашифровал машину примерно 80%, но человек выключил пк резко из розетки, удалось поймать несколько файлов а именно файл который привел к заражению, так же файл который по предположению шифровал файлы, лог собранный программой прилагаю

      Добавляю файлы от программы  Farbar Recovery Scan Tool
      CollectionLog-2017.11.23-19.11.zip
      Addition.txt
      FRST.txt
      Shortcut.txt
×
×
  • Создать...