lockbit 3.0 Стали жертвой шифровальщика. Просьба сообщить варианты помощи по дешифрации

[alexeis]

Стали жертвой шифровальщика. Часть данных не смогли восстановить, а она является достаточно важной.

Шифровальщик заменяет файлы на свои - добавляя расширение.

Способ распространения странный - откуда заполз не понятно, работал он в рамках RDP сессий - очень похоже что идя по алфавиту.

Файлы после него стали все такие, например: 

x.backup.srv-fs.dayD2022-12-09T093032_6A47.vib.CRYPT

Во вложении файл с описанием что хочет вымогатель.

 

 

 

Readme - How to recover encrypted files.html

Изменено 12 декабря, 2022 пользователем alexeis
добавил файлы описания

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[alexeis]

по всей видимости шифровальщик попал в локальную сеть через 2008 сервер с открытым наружу 443 портом

далее нашел хэш пароля административной записи и начал ходить по RDP и запускать себя и шифровать файлы

копии файлов он не создавал - просто шифровал и менял разрешение

после отключения учетной записи под которой он работал - шифрование прекратилось

 

теперь имеем тонну шифрованных файлов - которые крайне важно восстановить

копии вирус также успел пошировать

 

файла самого шифрователя найти не удалось

 

FRST.txt example.zip

Изменено 13 декабря, 2022 пользователем Sandor
Убрал лог по просьбе ТС

[Sandor]

Хочу уточнить, здесь отвечают не сотрудники ЛК.

Если вам нужен официальный ответ компании, при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Некоторое время подождите, пробуем определить тип вымогателя.

 

Покажите, пожалуйста, последний отчёт обнаружений антивируса Eset. Можно скриншотом.

[kmscom]

Сообщение от модератора kmscom

Темы объединены 

 

[alexeis]

антивирус его не увидел, поэтому не чего приложить.

тк позировало всю локалку - сейчас один из пострадавших сканируется вот этой вещью - может быть что то положительное покажет

предположительно это он:

[mike 1]

15 часов назад, alexeis сказал:

Способ распространения странный - откуда заполз не понятно

А был бы нормальный EDR с антивирусом, то достаточно быстро смогли расследовать инцидент. Судя по логам и компанию, которую вы представляете вас взломали еще в сентябре, а то и еще раньше. Запрос на расшифровку вы вероятно сделать не сможете, т.к. у вас вероятно нет лицензии на антивирус, а ESET куда бы вы могли обратиться за помощью ушел с рынка РФ. У вас вероятно это https://xakep.ru/2022/09/22/lockbit-leak/ чудо зашифровало файлы. 

[Sandor]

Подтверждаю, похоже на LockBit 3.0, только шифрование началось не в сентябре 18 года, а 2022-12-11 04:09

 

@alexeis, есть смысл обратиться в ЛК с запросом на расшифровку.

 

Помощь в очистке системы от следов вымогателя нужна или планируете переустановку?

[alexeis]

системы переустановили, теперь осталось понять как данные восстановить. пока оставили данные в стороне - ждем возможных вариантов дешифровки.

а каким образом обратиться в ЛК чтобы попробовать получить дешифровщик?

[Sandor]

В моём предыдущем сообщении есть ссылка с инструкцией (фраза "запросом на расшифровку").

[mike 1]

1 час назад, alexeis сказал:

а каким образом обратиться в ЛК чтобы попробовать получить дешифровщик?

Почитайте закрепленные темы в этом разделе. В них всё написано + ссылку вам уже давали в этой теме.