lockbit Шифровальщик Ransom:Win32/Lockbit.RPA!MTB с расширением .bGe6JmZwv

[Evgen2454 0]

Добрый день. 07.07.2023 в ночь взломали все сервера и положили всю сеть. Обнаружили когда с утра не работала 1с. Ощущение будто ломали ручками потому что не до всех мест долезли и местами после подключения видны открытые окна которые оставили злоумышленники (было отрыто окно групповых политик где устанавливалось изображение рабочего стола). Файл exe который всё ломает антивирусом видится как Ransom:Win32/Lockbit.RPA!MTB. Сохранялся исполняемый файл в несколько директорий, вот которые заметил:

C:\Windows\SYSVOL\domain\scripts
\\domain.local\NETLOGON
\\domain.local\SYSVOL\domain.local\scripts

так же через время на принтеры отправили 999 копий текста вымогателей. Архив с вирусом есть. Очень нужна помощь по восстановлению данных.
Addition.txtFRST.txtзашифрованный файл.rarbGe6JmZwv.README.txt

[Sandor 1 303]

Здравствуйте!

 

Боюсь, что расшифровки нет. Но давайте попробуем чуть глубже изучить.

20 часов назад, Evgen2454 сказал:

Сохранялся исполняемый файл

Упакуйте его с паролем, залейте на файлообменник (или на облако) и ссылку на скачивание отправьте мне личным сообщением.

 

Файлы, перечисленные на скриншоте, тоже упакуйте (можно без пароля) и прикрепите к следующему сообщению.

[Sandor 1 303]

К сожалению, расшифровки нет.

Вам нужно принять меры по защите клиентских мест, в т.ч. домена.

Пароли администраторов следует сменить и задать в политике количество неверно набранных паролей.

Подключение по RDP следует прятать за VPN.

 

Установите надёжную защиту - https://www.kaspersky.ru/