lockbit v3 black Все файлы были зашифрованы с расширением .wPJWmA6jf

[andoreo]

17.11.23, примерно начиная со второй половины дня, файлы были зашифрованы.
Параллельно с этим был заражен и второй компьютер, а принтер начал печать текста:

Lockbit Black Ransomeware

 

Your data stolen and encrypted

 

The data will be published on TOR website

 

http://lockbitapt2yfbt7lchxejug47kmqvqqxvvjpgkmevv413azl13gy6pyd.onio and

htpp://lockbitapt.uz

You can contact us and decrypt one file fo free on these TOR site

http://lockbitapt2yfbt7lchxejug47kmqvqqxvvjpgkmevv413azl13gy6pyd.onio

htpp://lockbitsupp.uz

Decryption ID: C1A****

Бесплатного дешифрования найдено не было, однако, насколько мне известно, Kaspersky был запущен. Файл шифратора найден не был. 

FRST.txt wPJWmA6jf.README.txt files.rar

Изменено 22 ноября, 2023 пользователем safety

[safety]

Второй лог из FRST так же нужен. Addition.txt

Проверьте наличие в системе таких файлов:

"Aкт cвepки взaимopacчeтoв.zip"

"Aкт cвepки взaимopacчeтoв*.exe

Изменено 21 ноября, 2023 пользователем safety

[andoreo]

Ого, прикрепляю, видимо упустил.

Addition.txt

[safety]

8 часов назад, andoreo сказал:

Параллельно с этим был заражен и второй компьютер, а принтер начал печать текста:

По второму ПК можно сделать отдельную тему, возможно на нем было шифрование с другим расширением. А значит и сэмпл другой.

 

Возможно этот файл был получен через почту или загружен по ссылке, после запуска шифровальщика он зашифрован

2023-11-14 08:29 - 2023-11-17 13:29 - 000116889 ____N C:\Users\User.BUHGALTER\Downloads\Aкт cвepки.zip.wPJWmA6jf

 

Проверьте по журналу событий антивируса было ли отключение антивирусной защиты. Если пароль не был установлен на доступ к настройкам, то сделать это очень просто после получения доступа к рабочему столу.

 

Сделайте, пожалуйста, дополнительно образ автозапуска в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, Win7, Win8, Win10 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

[andoreo]

Было выяснено, что файл "Aкт cвepки взaимopacчeтoв.zip" был прислан на почту и открыт одним из пользователей. 
"Aкт cвepки взaимopacчeтoв*.exe тоже был мною замечен в отчете Касперского при запуске системы, но был убран Касперским с концами.
Этих двух файлов сейчас в системе не наблюдается.

Изменено 21 ноября, 2023 пользователем safety

[safety]

38 minutes ago, andoreo said:

Было выяснено, что файл "Aкт cвepки взaимopacчeтoв.zip" был прислан на почту и открыт одним из пользователей. 

Если файл сохранился в почте, сохраните сообщение в формате msg или eml, заархивируйтес паролем infected, выложите на облачный диск и дайте ссылку в ЛС.

Добавьте все логи проверки антивирусами: Cureit, KVRT (если были проверки) и лог обнаружения штатного антивируса.

 

Quote

Файл шифратора найден не был. 

Возможно самоудалился после завершения шифрования.

 

Судя по логу Addition.txt, антивирус в отключенном состоянии, проверьте состояние лицензии.

AV: Kaspersky Internet Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AS: Kaspersky Internet Security (Disabled - Up to date) {F41710F6-65D1-4F66-2B68-CCCF63D4A09E}
FW: Kaspersky Internet Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}

Изменено 21 ноября, 2023 пользователем safety

[andoreo]

Файл был отправлен в папку "Спам", откуда, видимо был удален, так что предоставить не могу, увы. Но при попытке его загрузки вроде бы Касперский реагировал на него как на Trojan.Win32.Convagent, я не уверен, что точно запомнил. 
Логи Касперского и образ прикрепил.

Kaspersky Event Log.zip BUHGALTER_2023-11-21_15-35-42_v4.14.1.7z

[safety]

Проверьте записи в журнале обнаруженных угроз штатного антивируса. Возможно журналы событий были очищены на дату шифрования.

По образу: это какой декриптор вы использовали для запуска?

C:\21\DECRYPTOR.EXE

следов шифровальщика нет.

+

проверьте ЛС.

[andoreo]

 

47 минут назад, safety сказал:

Судя по логу Addition.txt, антивирус в отключенном состоянии, проверьте состояние лицензии.

AV: Kaspersky Internet Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AS: Kaspersky Internet Security (Disabled - Up to date) {F41710F6-65D1-4F66-2B68-CCCF63D4A09E}
FW: Kaspersky Internet Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}

Касперский работает, лицензия активна, очень странно. Однако подвисал во время загрузки образа автозапуска на жесткий диск.

1 минуту назад, safety сказал:

C:\21\DECRYPTOR.EXE

Результата не дал, ссылка на ГитХабе.
https://github.com/Zzutiky666/LockBit/tree/main/decryptor

[safety]

16 hours ago, andoreo said:

Касперский работает, лицензия активна, очень странно

Возможно, FRST нашел остатки в реестре от старых версий.

 

Quote

Результата не дал, ссылка на ГитХабе.
https://github.com/Zzutiky666/LockBit/tree/main/decryptor

Это не относится к LB3Black, непонятно даже к какой версии Lockbit он применим. И применим ли вообще.

 

К сожалению, расшифровка файлов после Lockbit v3Black/CryptomanGizmo невозможна без приватного ключа.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Пока единственный способ -зашита от проникновения, запретите запуск исполняемых файлов из всех форматов архивов через локальные политики. + наличие бэкапов.

Изменено 22 ноября, 2023 пользователем safety