lockbit v3 black Поймал вирус

[baha]

Добрый день. Зашифровали файлы с расширением QllsD3Soa, можете помочь?

[baha]

CollectionLog-2023.01.26-13.20.zip report1.log report2.log

[Sandor]

Здравствуйте!

 

Переместил вашу тему в подходящий раздел, в котором немного другие правила - Порядок оформления запроса о помощи

Выполните их тоже, пожалуйста.

Новую тему создавать не нужно, продолжайте здесь.

[baha]

500лист1-Model.pdf.zip Addition.txt FRST.txt QlIsD3SoA.README.zip

[Sandor]

Пробуем определить тип вымогателя, некоторое время подождите.

 

Компьютер, на котором собирались логи, похоже не является источником заражения. Следов вымогателя не видно.

Но разрешения на порты

Цитата

FirewallRules: [{87B09971-FC1A-4DB1-8C24-AC9EBE8F5746}] => (Allow) LPort=475
FirewallRules: [{7305979C-9803-4AC1-BA69-43CB609B3677}] => (Allow) LPort=475

закройте.

[baha]

Это компьютер который заражен

[Sandor]

Заражение давно произошло?

Переделайте, пожалуйста, логи FRST.txt и Addition.txt, предварительно отметив галочкой пункт "Файлы за 90 дней".

[baha]

произошло сегодня в 2-3ч ночи

до этого лог вроде снимал за последние 60 дней, если не ошибаюсь

[Sandor]

Пожалуйста, поищите ещё несколько зашифрованных документов популярных форматов. Возможно найдёте их незашифрованные оригиналы, их тоже прикрепите.

[baha]

Переделал

Addition.txt FRST.txt

[Sandor]

Архив

Цитата

C:\Users\Администратор\dirc.7z

вам известен?

[baha]

Да. 
Нашел комп который был атакован. Сниму с него RST.txt и Addition.txt, и выложу

 

 

Это с компа который был атакован.
Пришло письмо с вложением от ФСПП с вирусом. На оф.сайте ФСПП есть уведомление о том, что от их имени отправляют письма с вирусами. Но, это я уже нашел после

Addition.txt FRST.txt

[Sandor]

Это CriptomanGizmo Ransomware. Расшифровки нет, к сожалению.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите устаревшее и не поддерживаемое ПО:
 

Цитата

 

Adobe Flash Player 32 ActiveX

Adobe Flash Player 32 NPAPI

 

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\Policies\system: [DisableTaskMgr] 1
  HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\Policies\system: [DisableRegistryTools] 1
  HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\MountPoints2: {410c435f-624d-11ec-b996-f832e49f7c6c} - F:\HiSuiteDownLoader.exe
  Task: {285951FC-288E-4D91-9763-DE5367B47783} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [335416 2020-12-09] (Adobe Inc. -> Adobe)
  Task: {C263027E-7A2D-4F41-AA9D-031160734CBC} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_Plugin.exe [1504312 2020-12-09] (Adobe Inc. -> Adobe)
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkekdlkmdpipihonapoleopfekmapadh
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
  CHR HKU\S-1-5-21-911709941-1031200930-1611764957-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
  CHR HKLM-x32\...\Chrome\Extension: [djlkjhaeaofhlchjkhhohmgadibkoaad]
  C:\Users\User\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
  2023-01-26 02:59 - 2023-01-26 02:59 - 004147254 _____ C:\ProgramData\QlIsD3SoA.bmp
  2023-01-25 20:35 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\Local\QlIsD3SoA.README.txt
  2023-01-25 20:34 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\LocalLow\QlIsD3SoA.README.txt
  2023-01-25 20:33 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\Roaming\QlIsD3SoA.README.txt
  2023-01-25 20:33 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\QlIsD3SoA.README.txt
  2023-01-25 20:28 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Documents\QlIsD3SoA.README.txt
  2023-01-25 20:28 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Desktop\QlIsD3SoA.README.txt
  2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\LocalLow\QlIsD3SoA.README.txt
  2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\Local\QlIsD3SoA.README.txt
  2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\QlIsD3SoA.README.txt
  2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Downloads\QlIsD3SoA.README.txt
  2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\QlIsD3SoA.README.txt
  2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Downloads\QlIsD3SoA.README.txt
  2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Documents\QlIsD3SoA.README.txt
  2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Desktop\QlIsD3SoA.README.txt
  2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\Roaming\QlIsD3SoA.README.txt
  2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\QlIsD3SoA.README.txt
  2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\QlIsD3SoA.README.txt
  2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\QlIsD3SoA.README.txt
  HKU\S-1-5-21-911709941-1031200930-1611764957-1000\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\QlIsD3SoA.bmp
  FirewallRules: [{9C9E56BD-9A29-4786-82D5-D03FD53A7B83}] => (Allow) Z:\\tools\aria2c.exe => Нет файла
  FirewallRules: [{1B87E31C-51B8-4B6F-8BC8-A22640A610CA}] => (Allow) LPort=1433
  FirewallRules: [{223547E0-6174-40E4-9228-CD7C1910FE88}] => (Allow) LPort=1434
  FirewallRules: [{A973A086-F351-4FF9-AF1A-A31D301A4991}] => (Allow) LPort=9422
  FirewallRules: [{0B951C74-F184-4F5C-AE3D-C4F64B952AF7}] => (Allow) LPort=9245
  FirewallRules: [{60AE8E82-9583-4AB5-B029-66E197122520}] => (Allow) LPort=9246
  FirewallRules: [{4BAC5453-A052-4527-BB7C-B11B8715BAFB}] => (Allow) LPort=9247
  FirewallRules: [{83FC79F5-E6A6-4657-955C-2E4C0DB2C9FB}] => (Allow) LPort=3702
  FirewallRules: [{423F53E3-27CB-4D7B-BB94-071A1336495F}] => (Allow) LPort=9244
  FirewallRules: [{9788A1F8-B5A9-4932-A1DF-DE3D5DC13F37}] => (Allow) LPort=9444
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.