Форум esetnod32.ru [тема: Зашифровано с расширением .BLACK] http://forum.esetnod32.ru Новое в теме Зашифровано с расширением .BLACK форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 17 Apr 2026 05:46:00 +0300 Зашифровано с расширением .BLACK Зашифровано с расширением .BLACK BlackHunt в форуме Шифровальщики файлов и подбор дешифраторов.
Спасибо!  
14.04.2023 08:08:41, Георгий Терентьев.]]> http://forum.esetnod32.ru/messages/forum35/topic17192/message115701/ http://forum.esetnod32.ru/messages/forum35/topic17192/message115701/ Fri, 14 Apr 2023 08:08:41 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .BLACK Зашифровано с расширением .BLACK BlackHunt в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Георгий Терентьев написал:
Как я смогу узнать о том что расшифровщик найден?
=============
Можно за этой темой следить, автор этого блога обновляет информацию если расшифровка становится доступной,
https://id-ransomware.blogspot.com/2022/11/blackhunt-ransomware.html
Так же,
по возможности, мы через форум здесь информируем о возможности расшифровки, в самой теме, через личные сообщения, или через сообщения по email на почту регистрации.
12.04.2023 07:35:37, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic17192/message115690/ http://forum.esetnod32.ru/messages/forum35/topic17192/message115690/ Wed, 12 Apr 2023 07:35:37 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .BLACK Зашифровано с расширением .BLACK BlackHunt в форуме Шифровальщики файлов и подбор дешифраторов.
Хорошо!

Спасибо Вам за помощь!

Как я смогу узнать о том что расшифровщик найден?
12.04.2023 07:30:38, Георгий Терентьев.]]> http://forum.esetnod32.ru/messages/forum35/topic17192/message115689/ http://forum.esetnod32.ru/messages/forum35/topic17192/message115689/ Wed, 12 Apr 2023 07:30:38 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .BLACK Зашифровано с расширением .BLACK BlackHunt в форуме Шифровальщики файлов и подбор дешифраторов.
@Георгий Терентьев,

Если очистка системы не нужна (была заражена майнером), то остается ждать новой информации по данному шифровальщику. На текущий момент расшифровки по BlackHunt нет.
11.04.2023 13:22:53, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic17192/message115686/ http://forum.esetnod32.ru/messages/forum35/topic17192/message115686/ Tue, 11 Apr 2023 13:22:53 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .BLACK Зашифровано с расширением .BLACK BlackHunt в форуме Шифровальщики файлов и подбор дешифраторов.
В ответ на Ваши вопросы сообщаю.

Прокси не наш

Не могу пояснить по hosts, сами ничего не блокировал

Антивирус 360 поставили уже после шифрования

Скорей всего, что взломали учёту Администратора, так как был случай когда меня выкинуло, что кто-то зашел. Хотя ни кто не заходил кроме меня
Очистку журналов от 20.02.2023 не делал. Возможно это Cclean или другие программы, которыми пытался удалить вирус

В настоящий момент договор с арендой удаленного сервера прекращен. на основании договора нам собрали машину, подключили к интернету и предоставили к ней доступ

На момент шифрования антивирусов установлено не было.

Сейчас все данные скопированный на переносной носитель, в надеже что их расшифруют.  
11.04.2023 11:25:45, Георгий Терентьев.]]> http://forum.esetnod32.ru/messages/forum35/topic17192/message115685/ http://forum.esetnod32.ru/messages/forum35/topic17192/message115685/ Tue, 11 Apr 2023 11:25:45 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .BLACK Зашифровано с расширением .BLACK BlackHunt в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Георгий Терентьев написал:
В дальнейшем будет достаточно скопированных данных?
=============
желательно, чтобы к зашифрованным файлам были чистые пары (несколько пар, лучше если это офисные документы или рисунки)
+
эти файлы так же сохраните:
#BlackHunt_ReadMe.hta
#BlackHunt_Private.key
#BlackHunt_Public.key
#BlackHunt_ID.txt
---------
по расшифровке данного типа шифровальщика пока нет информации
почта злоумышленников была засвечена в шифровальщике FONIX/RYUK
Primary email :RyanRinse@mailfence.com
но здесь другой тип, не похоже на FONIX

Информация о Blackhunt в энциклопедии шифровальщиков от Амиго-А
https://id-ransomware.blogspot.com/2022/11/blackhunt-ransomware.html

Опознан как

   ransomnote_filename: #BlackHunt_ReadMe.txt
   sample_extension: .[<id>].[<email>].Black
   sample_bytes: [0x1BC97 - 0x1BCA3] 0x23424C41434B5F48554E5423

https://id-ransomware.malwarehunterteam.com/identify.php?case=caec0d168739930a28ad7772c436c5cb06ddfdba

Тема по данному шифровальщику на Bleepingcomputer.com
https://www.bleepingcomputer.com/forums/t/782666/blackhunt-ransomware-black;-blackhunt-readmetxt-support-topic/
05.04.2023 10:08:57, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic17192/message115650/ http://forum.esetnod32.ru/messages/forum35/topic17192/message115650/ Wed, 05 Apr 2023 10:08:57 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .BLACK Зашифровано с расширением .BLACK BlackHunt в форуме Шифровальщики файлов и подбор дешифраторов.
На вопросы чуть позже отвечу.

Я скачал все важные мне данные на отдельный носитель.
Сегодня у меня последний день аренды сервера и продлевать его не буду.

В дальнейшем будет достаточно скопированных данных?
05.04.2023 09:56:57, Георгий Терентьев.]]> http://forum.esetnod32.ru/messages/forum35/topic17192/message115649/ http://forum.esetnod32.ru/messages/forum35/topic17192/message115649/ Wed, 05 Apr 2023 09:56:57 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .BLACK Зашифровано с расширением .BLACK BlackHunt в форуме Шифровальщики файлов и подбор дешифраторов.
RP55,  до чистки еще дойдем, как только будут ответы на вопросы.
------------
0HTTP://34.80.59.191/WIN.PAC
C:\USERS\АДМИНИСТРАТОР.WIN-1O899I2GF2V\APPDATA\LOCAL\BROWSERUPDPHENIX\BROWSERUPDPHENIX.EXE
C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
05.04.2023 09:37:32, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic17192/message115647/ http://forum.esetnod32.ru/messages/forum35/topic17192/message115647/ Wed, 05 Apr 2023 09:37:32 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .BLACK Зашифровано с расширением .BLACK BlackHunt в форуме Шифровальщики файлов и подбор дешифраторов.
Прокси ваш?
хттп://34.80.59.191/WIN.PAC
в hosts сами блокировали адреса антивирусных ресурсов?
например:
0.0.0.0 malwarebytes.com
Антивирус 360 поставили уже после шифрования? (судя по файлам - дата шифрования 17.02.2023)

Судя по логу ESVC:

влом учетки Администратор? очистка журналов от 20.02.2023 или это уже постреакция после шифрования?

sep=,
Datetime,Source,Event description
20.02.2023 20:16:06.802,Windows Event Log,"Log ""Windows PowerShell"" was cleared by 1CSRV\Администратор."
20.02.2023 20:16:06.786,Windows Event Log,"Log ""Windows Networking Vpn Plugin Platform/OperationalVerbose"" was cleared by 1CSRV\Администратор."
20.02.2023 20:16:06.786,Windows Event Log,"Log ""Windows Networking Vpn Plugin Platform/Operational"" was cleared by 1CSRV\Администратор."
20.02.2023 20:16:06.645,Windows Event Log,"Log ""System"" was cleared by 1CSRV\Администратор."
17.02.2023 22:15:01.620,Non-MS Apps,"Application ""Adobe Acrobat Reader - Russian"" was installed."
17.02.2023 19:27:37.615,Non-MS Apps,"Application ""Port Locker"" was installed."
17.02.2023 19:27:37.615,Non-MS Apps,"Application ""Total Commander 64-bit (Remove or Repair)"" was installed."
------------------
Аутентификация на уровне сети отключена. Чтобы включить его, щелкните правой кнопкой мыши Этот компьютер (или компьютер) -> Свойства -> Настройки удаленного доступа и установите флажок «Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети».

Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Некоторые важные системные журналы были очищены.
Имя журнала Очищено
Система 20.02.2023 20:16:06
Windows PowerShell 20.02.2023 20:16:06

Продукт безопасности не найден на момент шифрования.

Журналы событий безопасности охватывают лишь небольшой период времени (менее суток). Журналы либо были очищены злоумышленником, либо размер журнала событий слишком мал.
Рассмотрите возможность увеличения размера журнала событий (eventvwr.msc -> Журналы Windows (левая панель) -> Безопасность -> Свойства (правая панель) -> Максимальный размер журнала (введите новое значение)). Мы рекомендуем как минимум утроить текущий Максимальный размер журнала.

Была проведена атака грубой силы с удаленной машины (машин):
- у administrator было 13 052 неудачных попытки входа в систему
- У ADMINISTRATOR была 7 991 неудачная попытка входа в систему.
- У ADMIN было 4 357 неудачных попыток входа в систему.
- У Administrator было 442 неудачных попытки входа в систему.

Могут отсутствовать следующие критические исправления:
- CVE-2021-34527, кодовое название «PrintNightmare» (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-34527)

Мы рекомендуем:
- регулярное резервное копирование важных данных для предотвращения потери данных
- ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо
- использование надежного пароля пользователями с доступом по RDP
05.04.2023 06:09:28, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic17192/message115642/ http://forum.esetnod32.ru/messages/forum35/topic17192/message115642/ Wed, 05 Apr 2023 06:09:28 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .BLACK Зашифровано с расширением .BLACK BlackHunt в форуме Шифровальщики файлов и подбор дешифраторов.
Направляю данные для анализа
ESVC_1CSRV_20230405101548.zip
FRST.txt
Addition.txt
1CSRV_2023-04-05_10-02-32_v4.13.7z
05.04.2023 05:31:48, Георгий Терентьев.]]> http://forum.esetnod32.ru/messages/forum35/topic17192/message115641/ http://forum.esetnod32.ru/messages/forum35/topic17192/message115641/ Wed, 05 Apr 2023 05:31:48 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .BLACK Зашифровано с расширением .BLACK BlackHunt в форуме Шифровальщики файлов и подбор дешифраторов.
Сделайте, пожалуйста, логи в зашифрованной системе: (для поиска возможного тела шифровальщика)
образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/
логи FRST
https://forum.esetnod32.ru/forum9/topic2798/
SysvulnCheck
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
05.04.2023 01:16:17, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic17192/message115640/ http://forum.esetnod32.ru/messages/forum35/topic17192/message115640/ Wed, 05 Apr 2023 01:16:17 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .BLACK Зашифровано с расширением .BLACK BlackHunt в форуме Шифровальщики файлов и подбор дешифраторов.
Все файлы были зашифрованы BLACK HUNT

Пришло текстовое сообщение:

"As you can see we have penetrated your whole network due some critical network insecurities
All of your files such as documents, dbs and... Are encrypted and we have uploaded many important data from your machines,
and believe we us we know what should we collect.


However you can get your files back and make sure your data is safe from leaking by contacting us using following details :


Primary email :RyanRinse@mailfence.com

Secondary email(backup email in case we didn't answer you in 24h) :RyanRinse@firemail.de

Your machine Id : NISsdNg7kCd00XYU
use this as the title of your email


(Remember, if we don't hear from you for a while, we will start leaking data)"

Очень надеюсь, что Вы сможете мне помочь!

Спасибо всем тем, кто постарается мне помочь! =)
пароль 1111.7z
04.04.2023 18:12:27, Георгий Терентьев.]]> http://forum.esetnod32.ru/messages/forum35/topic17192/message115638/ http://forum.esetnod32.ru/messages/forum35/topic17192/message115638/ Tue, 04 Apr 2023 18:12:27 +0300 Шифровальщики файлов и подбор дешифраторов