santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Зашифровано с расширением .BLACK, BlackHunt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.04.2023 07:35:37

Цитата
Георгий Терентьев написал: Как я смогу узнать о том что расшифровщик найден?

Можно за этой темой следить, автор этого блога обновляет информацию если расшифровка становится доступной,
https://id-ransomware.blogspot.com/2022/11/blackhunt-ransomware.html
Так же,
по возможности, мы через форум здесь информируем о возможности расшифровки, в самой теме, через личные сообщения, или через сообщения по email на почту регистрации.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.04.2023 04:32:22

Через взломанные сайты распространяются вредоносное ПО под видом обновлений для Chrome

Поддельные ошибки обновления Chrome

Атака начинается с компрометации веб-сайтов для внедрения вредоносного кода JavaScript, который выполняет сценарии, когда пользователь посещает их. Эти сценарии будут загружать дополнительные сценарии в зависимости от того, является ли посетитель целевой аудиторией.

Эти вредоносные скрипты доставляются через службу Pinata IPFS (InterPlanetary File System), которая скрывает исходный сервер, на котором размещены файлы, что делает занесение в черный список неэффективным и сопротивляется удалению.

Если целевой посетитель просматривает сайт, сценарии отобразят поддельный экран ошибки Google Chrome, в котором будет указано, что не удалось установить автоматическое обновление, необходимое для продолжения просмотра сайта.

«Произошла ошибка при автоматическом обновлении Chrome. Пожалуйста, установите пакет обновления позже вручную или дождитесь следующего автоматического обновления», — говорится в поддельном сообщении об ошибке Chrome.

Затем сценарии автоматически загружают ZIP-файл с именем «release.zip», который замаскирован под обновление Chrome, которое должен установить пользователь.

Однако этот ZIP-файл содержит майнер Monero, который будет использовать ресурсы процессора устройства для добычи криптовалюты для злоумышленников.

При запуске вредоносное ПО копирует себя в папку C:\Program Files\Google\Chrome как «updater.exe», а затем запускает законный исполняемый файл для выполнения внедрения процесса и запуска прямо из памяти.

По данным VirusTotal, вредоносное ПО использует метод «BYOVD» (принеси свой собственный уязвимый драйвер) для использования уязвимости в законном WinRing0x64.sys для получения привилегий SYSTEM на устройстве.

Майнер сохраняется, добавляя запланированные задачи и выполняя изменения реестра, исключая себя из Защитника Windows.

Кроме того, он останавливает Центр обновления Windows и нарушает связь продуктов безопасности с их серверами, изменяя IP-адреса последних в файле HOSTS. Это препятствует обновлениям и обнаружению угроз и может даже полностью отключить антивирус.

После всех этих шагов майнер подключается к xmr.2miners[.]com и начинает майнить трудно отслеживаемую криптовалюту Monero (XMR).

Хотя некоторые из удаленных веб-сайтов являются японскими, NTT предупреждает, что недавнее включение дополнительных языков может указывать на то, что субъекты угрозы планируют расширить сферу своей деятельности, поэтому влияние кампании может вскоре возрасти.

Как всегда, никогда не устанавливайте обновления безопасности для установленного программного обеспечения на сторонних сайтах, а устанавливайте их только у разработчиков программного обеспечения или с помощью автоматических обновлений, встроенных в программу.

https://www.bleepingcomputer.com/news/security/hacked-sites-caught-spreading-malware-via-fake-chrome-updates/
-----------------
https://www.virustotal.com/gui/file/2afdcf74d9dbc5575de919e8d041fc06c15044da0844fe9326b8f1b4bedad291/behavior
https://www.virustotal.com/gui/file/cb1a228b5f9001dd9acf4fc1296c3f60b9014ae487df12bc8bb2fbc639a72290/behavior

-------------

Цитата
Полное имя C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE Имя файла UPDATER.EXE Тек. статус ?ВИРУС? ВИРУС в автозапуске Обнаруженные сигнатуры Сигнатура Win64/Kryptik.DQA (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-04-05 www.virustotal.com 2023-03-10 23:29 [2023-02-09] K7AntiVirus Trojan ( 0059bdd61 ) Symantec ML.Attribute.HighConfidence ESET-NOD32 a variant of Win64/Kryptik.DQA Kaspersky Trojan.Win32.Agent.xatoxm BitDefender Trojan.GenericKD.65483364 Avast Win64:Evo-gen [Trj] DrWeb Trojan.Siggen19.45027 Emsisoft Trojan.GenericKD.65483364 (B) Microsoft Trojan:Win64/CoinMiner.DC!MTB Сохраненная информация на момент создания образа Статус в автозапуске File_Id 63DD6E43398000 Linker 2.38 Размер 3738624 байт Создан 03.03.2023 в 05:43:17 Изменен 03.03.2023 в 05:43:18 TimeStamp 03.02.2023 в 20:27:47 EntryPoint + OS Version 0.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка SHA1 0BBD1560602ACA4210660580C00B36B3726B0F63 MD5 FB6F76B4F93ACC6FCD026EB66652E939 Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC Task \GoogleUpdateTaskMachineQC Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1BA1EBB6-9C3B-4FF1-9B4A-9889539EB664}\Actions Actions "C:\Program Files\Google\Chrome\updater.exe" Задача создана 26.02.2023 в 22:34:55 Последний запуск 24.03.2023 в 12:04:26 Код ошибки 0x0 Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{1BA1EBB6-9C3B-4FF1-9B4A-9889539EB664}\

Цитата

Полное имя C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Имя файла UPDATER.EXE
Тек. статус ?ВИРУС? ВИРУС в автозапуске

Обнаруженные сигнатуры
Сигнатура Win64/Kryptik.DQA (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-04-05

www.virustotal.com 2023-03-10 23:29 [2023-02-09]
K7AntiVirus Trojan ( 0059bdd61 )
Symantec ML.Attribute.HighConfidence
ESET-NOD32 a variant of Win64/Kryptik.DQA
Kaspersky Trojan.Win32.Agent.xatoxm
BitDefender Trojan.GenericKD.65483364
Avast Win64:Evo-gen [Trj]
DrWeb Trojan.Siggen19.45027
Emsisoft Trojan.GenericKD.65483364 (B)
Microsoft Trojan:Win64/CoinMiner.DC!MTB

Сохраненная информация на момент создания образа
Статус в автозапуске
File_Id 63DD6E43398000
Linker 2.38
Размер 3738624 байт
Создан 03.03.2023 в 05:43:17
Изменен 03.03.2023 в 05:43:18

TimeStamp 03.02.2023 в 20:27:47
EntryPoint +
OS Version 0.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 0BBD1560602ACA4210660580C00B36B3726B0F63
MD5 FB6F76B4F93ACC6FCD026EB66652E939

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC
Task \GoogleUpdateTaskMachineQC

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1BA1EBB6-9C3B-4FF1-9B4A-9889539EB664}\Actions
Actions "C:\Program Files\Google\Chrome\updater.exe"
Задача создана 26.02.2023 в 22:34:55
Последний запуск 24.03.2023 в 12:04:26
Код ошибки 0x0

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{1BA1EBB6-9C3B-4FF1-9B4A-9889539EB664}\

--------------

+
false proxy
хттп://34.80.59.191/WIN.PAC

[ Как создать образ автозапуска? ]

Перейти

Зашифровано с расширением .BLACK, BlackHunt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.04.2023 13:22:53

@Георгий Терентьев,

Если очистка системы не нужна (была заражена майнером), то остается ждать новой информации по данному шифровальщику. На текущий момент расшифровки по BlackHunt нет.

[ Как создать образ автозапуска? ]

Перейти

Файлы зашифрованы с расширением *.Loki; *.Blackbit, Loki.Locker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.04.2023 09:36:33

Restore-My-Files.txt одинаков для всех каталогов. В этом файле хранится ID, возможно он будет нужен для поиска приватного ключа, если когда нибудь будет слив ключей.

>>>Левые учетки не создавались, но все из группы Администраторы был поражены.
Возможно, смогли получить дамп с хэшами, и по хэшам смогли взломать пароли к учеткам администраторов.
--------
конечно, с 2003 вы опоздали с миграцией на более безопасную систему.

Version Original Release Date Latest Build Latest Build Release Date Current Status Full Support Limited Support

Цитата
6.5 February 28, 2017 6.5.12018.0 February 19, 2020 End of Life Ended Ended (December 31, 2022)

https://support-eol.eset.com/en/policy_business/product_tables.html

[ Как создать образ автозапуска? ]

Перейти

Файлы зашифрованы с расширением *.Loki; *.Blackbit, Loki.Locker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.04.2023 09:00:58

Цитата
Владимир Горячев написал: по файлу rules - это правила с маршрутизатора keenetic , фаервол ESET FILE SECURITY не настраивался.RDP ( порт 3389) используется админом со сложным паролем для доступа к сервер 2003, это один из контролеров (тип DC).

получается на RDP доступ открыт из внешней сети, т.е. возможны подключения из любого сегмента Интернет. возможно смогли получить доступ используя уязвимость системы.
Проверьте, не были ли созданы левые учетные записи с правами Администратора

Если смотреть по журналу угроз:

Цитата
06.04.2023 6:39:59 Real-time file system protection file C:\Documents and Settings\Администратор\Главное меню\Программы\Restore-My-Files.txt Win32/Filecoder.Phobos trojan deleted TCOM\Администратор Event occurred during an attempt to access the file by the application: C:\WINDOWS\explorer.exe (AA4213344DD3C4B0EBF1E699423CFE6D384B87D3). B470A8935FD24B99972D6490E836BA6C12557300 05.04.2023 23:06:35 06.04.2023 4:13:28 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B 06.04.2023 4:13:28 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B 05.04.2023 16:06:37 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B 05.04.2023 16:06:37 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B 05.04.2023 16:04:41 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B 05.04.2023 16:04:38 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B

Цитата

06.04.2023 6:39:59 Real-time file system protection file C:\Documents and Settings\Администратор\Главное меню\Программы\Restore-My-Files.txt Win32/Filecoder.Phobos trojan deleted TCOM\Администратор Event occurred during an attempt to access the file by the application: C:\WINDOWS\explorer.exe (AA4213344DD3C4B0EBF1E699423CFE6D384B87D3). B470A8935FD24B99972D6490E836BA6C12557300 05.04.2023 23:06:35
06.04.2023 4:13:28 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B
06.04.2023 4:13:28 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B
05.04.2023 16:06:37 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B
05.04.2023 16:06:37 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B
05.04.2023 16:04:41 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B
05.04.2023 16:04:38 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B

Судя по журналу обновлений, были проблемы с обновлением продукта на этом сервере.

06.04.2023 11:13:31 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
06.04.2023 9:13:30 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
06.04.2023 7:13:31 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
06.04.2023 5:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
05.04.2023 5:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
05.04.2023 3:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
05.04.2023 1:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
04.04.2023 23:13:08 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
04.04.2023 21:13:11 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
04.04.2023 19:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
04.04.2023 17:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM

и достаточно давно
07.03.2023 17:14:18 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
07.03.2023 15:14:14 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
07.03.2023 13:14:17 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
------------
файл детектировался уже в памяти после запуска (в AMS), не сигнатурно, скорее всего продукт давно не обновляется, так что сигнатуры не было для блокирования запуска шифровальщика MSIL/Filecoder.LokiLocker.D trojan

[ Как создать образ автозапуска? ]

Перейти

Файлы зашифрованы с расширением *.Loki; *.Blackbit, Loki.Locker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.04.2023 00:59:14

по файлу rules - это правила откуда? с маршрутизатора или с фаервола ESET FILE SECURITY?
по rdp - судя по файлу rules, здесь нет явного запрета на подключение по RDP (если порт 3389)
по расшифровке:
необходимо сохранить копии зашифрованных важных файлов и документов+Cpriv.Loki+Restore-My-Files.txt
по восстановлению системы: сервер 2003 - это ваш контролер домена? с доступом из внешней сети интернет?
файлы winlogon.exe которые добавлены в карантин не являются системными файлами, это файл шифровальщика.

[ Как создать образ автозапуска? ]

Перейти

Файлы зашифрованы с расширением *.Loki; *.Blackbit, Loki.Locker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2023 00:59:09

по детекту шифровальщика:
https://www.virustotal.com/gui/file/b8ffd72534056ea89bfd48cbe6efb0b4d627a6284a7b763fdb7dfd070c1049ba/detection

К сожалению, по LokiLocker на текущий момент нет расшифровки. Сохраните важные зашифрованные документы на отдельный носитель,
возможно в будущем расшифровка станет возможной.

судя по логу ESVC возможно проникновение было на другой сервер, а шифрование на PKY было только по расшаренным каталогам, т.е. с другого устройства.

Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Пользователь должен выполнить обновление до ESET Server Security для Microsoft Windows Server версии 8.0 (https://www.eset.com/int/business/download/file-security-windows/).

Аудит событий входа, вероятно, частично (или полностью) отключен.
Чтобы включить его, запустите secpol.msc и в разделе «Локальные политики» -> «Политика аудита» -> «Аудит событий входа» отметьте «Успех» и «Сбой».

Мы рекомендуем:
- регулярное резервное копирование важных данных для предотвращения потери данных
- ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо
- использование надежного пароля пользователями с доступом по RDP
- установка пароля для защиты настроек ESET и предотвращения их отключения или удаления посторонними лицами (см. https://support.eset.com/kb6783/)
- включение системы ESET LiveGrid Feedback
- включение обнаружения потенциально небезопасных приложений (см. https://support.eset.com/kb6795/)

[ Как создать образ автозапуска? ]

Перейти

Файлы зашифрованы с расширением *.Loki; *.Blackbit, Loki.Locker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2023 06:11:15

Цитата
Владимир Горячев написал: Выслал filecoder на [email protected] , + логи здесь

по детекту- это все таки FileCoder.LokiLocker (не Phobos, конечно, как детектируется записка о выкупе):
E7A44AD48CBE884AFC4DAFB917F5445C9994F29C.NDF "C:\svchost.exe";"C:\Documents and Settings\All Users\Application Data\winlogon.exe";"C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\winlogon.exe";"C:\Documents and Settings\Администратор\Application Data\winlogon.exe";"C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\winlogon.exe" "@NAME=MSIL/Filecoder.LokiLocker.D@TYPE=Trojan@SUSP=mod" 06.04.2023 532480 bytes

Пришлите, пожалуйста, один из файлов (который winlogon.exe) из карантина, в архиве, с паролем infected в почту [email protected]
(этот файл не попал в архив filecoder, там только записка о выкупе)
+
нужен лог ESETSysVilnCheck для анализа проникновения на ваше устройство.

[ Как создать образ автозапуска? ]

Перейти

Файлы зашифрованы с расширением *.Loki; *.Blackbit, Loki.Locker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2023 02:33:41

Добавьте, пожалуйста, несколько зашифрованных файлов в архиве+записку о выкупе.
Если найдено тело шифровальщика добавьте в архив Filecoder с паролем infected, пришлите архив в почту [email protected]

Сделайте, пожалуйста, логи в зашифрованной системе: (для поиска возможного тела шифровальщика)
1. образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/
2. логи FRST
https://forum.esetnod32.ru/forum9/topic2798/
3. Соберите лог ESETLogCollector
скачать программу отсюда:
текущая версия - v4.3.0.0 (14.07.2021)
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcollector.exe

Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").

В выпадающем меню "Режим сбора журналов ESET" выберите пункт "Фильтрованный двоичный код" и нажмите кнопку Собрать. Дождитесь окончания сбора необходимых сведений, по окончанию работы программы Вы увидите сообщение «Все файлы собраны и заархивированы» По умолчанию, архив с данными сохранится в папку, откуда Вы запускали утилиту и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.

4.SysvulnCheck
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.

[ Как создать образ автозапуска? ]

Перейти

Зашифровано с расширением .BLACK, BlackHunt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.04.2023 10:08:57

Цитата
Георгий Терентьев написал: В дальнейшем будет достаточно скопированных данных?

желательно, чтобы к зашифрованным файлам были чистые пары (несколько пар, лучше если это офисные документы или рисунки)
+
эти файлы так же сохраните:
#BlackHunt_ReadMe.hta
#BlackHunt_Private.key
#BlackHunt_Public.key
#BlackHunt_ID.txt
---------
по расшифровке данного типа шифровальщика пока нет информации
почта злоумышленников была засвечена в шифровальщике FONIX/RYUK
Primary email :[email protected]
но здесь другой тип, не похоже на FONIX

Информация о Blackhunt в энциклопедии шифровальщиков от Амиго-А
https://id-ransomware.blogspot.com/2022/11/blackhunt-ransomware.html

Опознан как

ransomnote_filename: #BlackHunt_ReadMe.txt
sample_extension: .[<id>].[<email>].Black
sample_bytes: [0x1BC97 - 0x1BCA3] 0x23424C41434B5F48554E5423

https://id-ransomware.malwarehunterteam.com/identify.php?case=caec0d168739930a28ad7772c436c5cb06ddfdba

Тема по данному шифровальщику на Bleepingcomputer.com
https://www.bleepingcomputer.com/forums/t/782666/blackhunt-ransomware-black;-blackhunt-readmetxt-support-topic/

[ Как создать образ автозапуска? ]

Перейти