Шифровальщик BlackBit

[Евгений467]

Помогите с расшифровкой файлов. Занесли по RDP.

К зашифрованным файлам приложен текстовый файл с содержанием: 

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: *****@*****.tld
In case of no answer in 24h, send e-mail to this address: *****@*****.tld
All your files will be lost on 13 декабря 2022 г. 23:46:45.
Your SYSTEM ID : 2C448228

[Baikonur]

Добрый день! Нашли решение вашей проблемы?

[Михаил Сергеевич]

Доброго времени суток. Интересуюсь, удалось ли решить данный вопрос? Если да, то как?

[sharkmax]

Аналогично сегодня словили blackbit, у кого какие мысли? как поняли что заражение происходит через рдп? и каким образом?

[sharkmax]

Как происходит заражение разобрался, у нас также через рдп лом произошёл, у кого-то получилось восстановить файлы?

[Серега]

Такая же беда случилась с BlackBit, тоже через рдп завалились ночью
Но руководство решило заплатить все-таки и после этого тишина в эфире уже часа 4 (да-да, не самый умный поступок), но такое решение было принято
Кто то платил? Если да, то что было дальше то?

В 24.01.2023 в 09:34, sharkmax сказал:

Аналогично сегодня словили blackbit, у кого какие мысли? как поняли что заражение происходит через рдп? и каким образом?

сетевик просматривал логи роутера и взлома (или попыток) не было

[Геннадий_102030]

Доброго дня!

Коллеги, подскажите у вас РДП был поднят на Windows 7/ Server 2008 или более ранних?

Интересует, был ли это BlueKeep или еще что-то, в смысле того, уязвим ли Server 2016.

В 25.01.2023 в 09:21, sharkmax сказал:

Как происходит заражение разобрался, у нас также через рдп лом произошёл, у кого-то получилось восстановить файлы?

Я так и не нашел дешифровальщика или упоминания случая успешной расшифровки без оплаты вымогателям...

[a_d_69]

В 26.01.2023 в 23:18, Серега сказал:

Такая же беда случилась с BlackBit, тоже через рдп завалились ночью
Но руководство решило заплатить все-таки и после этого тишина в эфире уже часа 4 (да-да, не самый умный поступок), но такое решение было принято
Кто то платил? Если да, то что было дальше то?

сетевик просматривал логи роутера и взлома (или попыток) не было

После оплаты выслали дешифровальщик? И какая стоимость была?

[Sergik]

Похожая проблема зашифровал BlackBit несколько серверов и расшаренных папок в сети.

МОШЕННИКИ!!! ПОСЛЕ ОТЛАТЫ ПРОСЯТ ЕЩЕ ОТПЛАТИТЬ И НЕ ДАЮТ ДЕШИФРАТОР!!!

Оказалось, что не хватает некоторых бэкапов, и мошенники сообщили, что дадут дешифратор за 1000$, перевели на указанный кошелек 1000$ и следом получили сообщение: Хорошо, теперь доплатите еще 1500$

Сказали пока не заплатите еще, дешифратор не дадим. Далее началась долгая переписка в которой они просили 500, потом 300 долларов. Дополнительно платить не стали.

Ниже данные:
To decrypt them send e-mail to this address: mosnar  onionmail.org
In case of no answer in 24h, send e-mail to this address: mosnar cyberfear.com

КОШЕЛЕК на который произвели оплату согласно договоренности с ними

bc1qhp5z8hxlwhkmpkp6hnqzwrrvpghlvp35st6h30

Так же делюсь опытом как удалось восстановить данные.

Дело в том, что шифруются маленькие файлы полностью, а большие шифрует только начало файла. И так как у меня были бэкапы ранних версий нужного файла БД, удалось собрать из двух кусков один цельный файл, за основу был взят зашифрованный файл БД и заменен начальный кусок из такого же старого бэкапа.  в Итоге файл восстановили. 

Edited March 10, 2023 by Sergik
правил почту

[VladVK]

Всем привет!

Тоже поймали эту гадость на сервак. Как просочился - хз, за 20ть лет ни одного шифровальщика поймано не было до сего момента. Подозреваю, вся эта фигня активизировалась на фоне СВО.  

Говорят, что зловред использует rdp, но у нас порт не стандартный, да и пароль не простой.

Как думаете, каковы шансы на расшифровку Blackbit?

Обращался в поддержку Веба, там тоже не помогли, но посоветовали не удалять зашифрованные файлы.

Edited March 15, 2023 by VladVK

[asa42]

Приветствую коллеги. Тоже подхватили эту хворь. Ищем срочно лекарство (дешифровщик) очень нужен. Просим помощи. 

[Александр Я.]

Здравствуйте!
Что-то слышно по поводу этой заразы?
Словили. У кого-нибудь появился опыт восстановления информации?

[Ivannn]

Здравствуйте.

Никто так и не нашел дешифровщик?

[Andrey_Smolensky]

Купили дешифровальщик, но он не работает на других машинах. Взлом через rdp

[person]

В 26.09.2023 в 00:27, Andrey_Smolensky сказал:

Купили дешифровальщик, но он не работает на других машинах. Взлом через rdp

Где купили если не секрет?

[presedent63]

В 25.09.2023 в 23:27, Andrey_Smolensky сказал:

Купили дешифровальщик, но он не работает на других машинах. Взлом через rdp

а целевую машину, для которой покупали, удалось расшифровать ?

на других машинах не будет работать - для каждой машины свой ключ. Они же ключ делают, на основе данных тома.

[Svag]

Коллеги, что в итоге?

Какие подробности про покупку ключа? Развод не развод? Расшифровка больших файлов? Методика? Контакты специалистов?

Какая то инфс есть кроме "не повезло"?

[Spassky]

Неделю назад, словил этот же вирус. Ломанули через RDP, получили права администратора, и в ручном режиме отключили антивирус. Зашифровали абсолютно все. Нашли ярлык, с сохраненными данными еще на один сервер, и туда тоже добрались. Изучили особенность файлов, и в переписке рассказали и про 1С и SQl. В итоге пришлось оплатить 4000$. Через сутки скинули дешифратор. все расшифровали.  
Если есть еще жертвы, поделитесь зашифрованными данными, интересно попробовать, присланным дешифратором, другие файлы проверить на расшифровку.

[OCA]

Здравствуйте.    есть информация по Дешифровщику?   у кого то получилось найти?   или может есть третие лица кто сможет помочь восстановить .  ?  или проблему можно решить только заплатив  вымогателям? 

[kmscom]

Даже заплатив, нельзя решить проблему.

[presedent63]

В 14.11.2023 в 19:12, Spassky сказал:

Неделю назад, словил этот же вирус. Ломанули через RDP, получили права администратора, и в ручном режиме отключили антивирус. Зашифровали абсолютно все. Нашли ярлык, с сохраненными данными еще на один сервер, и туда тоже добрались. Изучили особенность файлов, и в переписке рассказали и про 1С и SQl. В итоге пришлось оплатить 4000$. Через сутки скинули дешифратор. все расшифровали.  
Если есть еще жертвы, поделитесь зашифрованными данными, интересно попробовать, присланным дешифратором, другие файлы проверить на расшифровку.

Приветствую, поймали эту заразу в октябре, но 4к $ у нас не было, потому остались с зашифрованными данными)

Можете скинуть вашу почту ? Скину свои файлы на пробу) Здесь прикреплять можно только картинки (

[vitalii772005]

В 14.11.2023 в 18:12, Spassky сказал:

Неделю назад, словил этот же вирус. Ломанули через RDP, получили права администратора, и в ручном режиме отключили антивирус. Зашифровали абсолютно все. Нашли ярлык, с сохраненными данными еще на один сервер, и туда тоже добрались. Изучили особенность файлов, и в переписке рассказали и про 1С и SQl. В итоге пришлось оплатить 4000$. Через сутки скинули дешифратор. все расшифровали.  
Если есть еще жертвы, поделитесь зашифрованными данными, интересно попробовать, присланным дешифратором, другие файлы проверить на расшифровку.

Добрый день, тоже словили. 1с базу успели спасти, в момент заражения была открыта, сделали копию, успели а общий доступ с файлами в основном тектстовыми все зашифровано. Можете файл проверить на раскодировку?

В 15.12.2023 в 00:52, presedent63 сказал:

Приветствую, поймали эту заразу в октябре, но 4к $ у нас не было, потому остались с зашифрованными данными)

Можете скинуть вашу почту ? Скину свои файлы на пробу) Здесь прикреплять можно только картинки (

Есть ли у вас успехи? тоже ломанули. Стоял нестандартный порт, пароль на 20 символов и походу через rdp ломанули, как взломали, понять не могу

[Absorber]

Тоже словил эту заразу. Но с моем случае это был ноут, который крутил Scada у меня на даче. Ради интереса написал им, попросили 2800 баксов. Описал в ответ что они взломали и что ущерб наверное баксов 10(переустановить Винду, поставить заново программу диспетчер). В ответ: "дай хоть 350 баксов, потому что 300 я должен отдать боссу"

[SIYANIE]

Всем привет, сегодня ночью подверглись атаке сервера на предприятии, компьютер через сеть заразился и заразил тем самым все компьютеры вокруг. Все файлы перезаписаны blackbit, и к каждому файлу прикреплён remove file.txt

Есть у кого дешифратор, хотя бы попытаться разобраться, пришлите пожалуйста на почту: Siyanie2005 собака.Gmail.com

Хотя бы проверим на возможности восстановления. При открывании файл стираеться, при копировании файла, оно передаётся по системе сразу.

Edited February 16 by SIYANIE

[andrew75]

@SIYANIE, создайте тему в разделе Помощь в борьбе с шифровальщиками-вымогателями клуба "Лаборатории Касперского", выполнив Порядок оформления запроса о помощи. Потребуется отдельная регистрация.