lockbit v3 black Все файлы были зашифрованы с расширением .8c7X8cuOI

[andoreo 0]

В продолжение предыдущей темы.  Выяснилось, что  шифровальщик был скачан и запущен дважды, на одном компьютере BUHGALTER (предыдущая тема) и на другом ALEXANDRA, что привело к шифрованию с разными ключами.

Был найден файл Aкт cвepки взaимopacчeтoв.zip, но при попытке его архивировать для передачи, вся папка была стёрта. Принтер не печатал отдельные листы с угрозой, как в прошлый раз, хотя по-видимому был подключен к сети, к имелся принтер. 
В системе также была потеря работоспособности интерфейса (файлы не отображались, хотя имелись на месте или пропадали элементы интерфейса, а также была отключена сеть и доступ в интернет (быть может, только для пользователя).

 

Вероятно, лицензия Касперского на этом компьютере не была продлена вручную, хотя работала на остальных двух.

Третий компьютер в сети не был поражен, т.к. файл-шифровальщик на нём не запускался.

Логи и зашифрованные файлы прикрепляю.

 

8c7X8cuOI.README.txt Addition.txt ALEXANDRA_2023-11-22_15-56-11_v4.14.1.7z FRST.txt files.zip Kaspersky Event Log.zip

[safety 83]

По образу uVS.

Выполните скрипт из буфера обмена.

Стартуем start.exe от имени Администратора (если не запущен еще)

Копируем из браузера скрипт в буфер обмена, браузер можно закрыть

Выполняем скрипт из буфера обмена в режиме "Скрипт"-"выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже.

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АЛЕКСАНДРА\APPDATA\ROAMING\0968498486.TMP.EXE
zoo %SystemDrive%\USERS\АЛЕКСАНДРА\APPDATA\LOCAL\TEMP\0968498486.TMP.EXE
zoo %SystemDrive%\USERS\АЛЕКСАНДРА\APPDATA\LOCAL\TEMP\RAR$EXA2624.31611\AКТ CВEPКИ ВЗAИМOPACЧEТOВ ЗА ПЕРИОД 01.09.2023 - 10.11.2023 ГОДА.EXE
zoo %SystemDrive%\USERS\АЛЕКСАНДРА\APPDATA\LOCAL\TEMP\DDTCHH.EXE
hide %SystemDrive%\PROGRAM FILES\1CV8\8.3.20.1710\BIN\HTMLUI.DLL
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\АЛЕКСАНДРА\APPDATA\ROAMING\0968498486.TMP.EXE
delall %SystemDrive%\USERS\АЛЕКСАНДРА\APPDATA\LOCAL\TEMP\0968498486.TMP.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\GFB3KID.EXE
delref HTTP://OVGORSKIY.RU
delref RJ7ULPX.DLL
delall %SystemDrive%\USERS\АЛЕКСАНДРА\APPDATA\LOCAL\TEMP\DDTCHH.EXE
delall %SystemDrive%\USERS\АЛЕКСАНДРА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\8C7X8CUOI.README.TXT
zoo %SystemDrive%\USERS\АЛЕКСАНДРА\APPDATA\ROAMING\8434.TMP.EXE
addsgn 1A0D2B9A5583E88CF42B254E3143FE86C9AA77B381AC48128D9A7BE4A09771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Trojan:Win32/Mamson.A!ml [Microsoft] 7

zoo %SystemDrive%\USERS\АЛЕКСАНДРА\APPDATA\ROAMING\64795.TMP.EXE
chklst
delvir

delref %SystemDrive%\USERS\АЛЕКСАНДРА\APPDATA\LOCAL\TEMP\RAR$EXA2624.31611\AКТ CВEPКИ ВЗAИМOPACЧEТOВ ЗА ПЕРИОД 01.09.2023 - 10.11.2023 ГОДА.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\JAVA\JAVA UPDATE\JUSCHED.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 1
regt 27
deltmp
;-------------------------------------------------------------
czoo
restart

После перезагрузки, загрузите файл ZOO_дата_время.7z на облачный диск и дайте ссылку на скачивание в ЛС.

[safety 83]

Далее,

выполняем из буфера обмена скрипт очистки в FRST.

Запускаем FRST от имени Администратора, ждем когда программа будет готова к действию.

Копируем скрипт в буфера обмена, закрываем браузер, нажимаем в FRST кнопку "Исправить"

Скрипт автоматически очистит систему и перегрузит  ее.

Скрипт ниже.

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
(Chandler -> RDP Core DLL) [Файл не подписан] C:\Users\Александра\AppData\Local\Temp\Rar$EXa2624.31611\Aкт cвepки взaимopacчeтoв за период 01.09.2023 - 10.11.2023 года.exe
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (Нет файла)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-859015240-3284157233-3880222342-1001\...\Run: [BraveUpdater.exe] => C:\Users\Александра\AppData\Local\Temp\Rar$EXa2624.31611\Aкт cвepки взaимopacчeтoв за период 01.09.2023 - 10.11.2023 года.exe [170240 2023-11-13] (Chandler -> RDP Core DLL) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-859015240-3284157233-3880222342-1001\...\Run: [Windows] => C:\Users\Александра\AppData\Local\Temp\38577597.tmp.exe [257888 2023-11-22] (Toronto -> Windows Media MPEG-4 Video Decoder) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-859015240-3284157233-3880222342-1001\...\Run: [64795.tmp] => C:\Users\Александра\AppData\Roaming\64795.tmp.exe [269424 2023-11-13] (Tsoft LLC -> Microsoft ® JScript Diagnostics) [Файл не подписан]
HKU\S-1-5-21-859015240-3284157233-3880222342-1001\...\Run: [8434.tmp] => C:\Users\Александра\AppData\Roaming\8434.tmp.exe [269424 2023-11-20] (Tsoft LLC -> Microsoft ® JScript Diagnostics) [Файл не подписан]
HKU\S-1-5-21-859015240-3284157233-3880222342-1001\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\Александра\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8c7X8cuOI.README.txt [2023-11-20] () [Файл не подписан]
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Александра\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {93EAE152-BC29-4154-8A45-C2C986015140} - \Update Service for Torrent Search -> Нет файла <==== ВНИМАНИЕ
Task: {11966980-4B22-42A5-947E-9D77DB854E16} - System32\Tasks\PED_Torrent_Search => C:\ProgramData\Torrent_Search_PED\rundll32.exe [51200 2014-11-22] (Microsoft Windows -> Microsoft Corporation) -> RJ7UlPx.dll,#67 <==== ВНИМАНИЕ
Task: C:\Windows\Tasks\PED_Torrent_Search.job => C:\ProgramData\Torrent_Search_PED\rundll32.exeRJ7UlPx.dll <==== ВНИМАНИЕ
Task: C:\Windows\Tasks\Update Service for Torrent Search.job => C:\Program Files (x86)\Torrent Search\gfb3KID.exe <==== ВНИМАНИЕ
2023-11-21 09:04 - 2016-05-25 08:46 - 000000386 _____ C:\Windows\Tasks\PED_Torrent_Search.job
EmptyTemp:
Reboot:
End::

после перезагрузки добавьте файл Fixlog.txt из папки откуда был запущен FRST.

Изменено 23 ноября, 2023 пользователем safety

[safety 83]

По файлам:

0968498486.TMP.EXE --- Kaspersky HEUR:Backdoor.MSIL.XWorm.gen

https://www.virustotal.com/gui/file/9a4a9c7cae60f9e86f9cd93f950ea71ebfc5552e7a40018b156890113415e076/detection

 

AКТ CВEPКИ ВЗAИМOPACЧEТOВ ЗА ПЕРИОД 01.09.2023 - 10.11.2023 ГОДА.EXE --- Kaspersky HEUR:Trojan.MSIL.Skeeyah.gen

https://www.virustotal.com/gui/file/d7568d03eadad1ac3b020116029245df00d468c244c052e92aa3b970085a1530/detection

 

DDTCHH.EXE

Kaspersky HEUR:Trojan-PSW.MSIL.Stealer.gen

https://www.virustotal.com/gui/file/6a3a8689a6efac4ecd33df0a90af052515df6f4765cc9568733675f7e1b5194d?nocache=1

 

детекты все актуальные, поэтому проверяйте на рабочих местах чтобы были активные лицензии, актуальные версии антивируса, все включенные функции защиты, актуальные базы с работающим обновлением, и параметры антивируса были защищены паролем. Пароль обязательно запомнить после того как будет установлен.

 

К сожалению, расшифровка файлов после Lockbit v3Black/CryptomanGizmo невозможна без приватного ключа.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Пока единственный способ -зашита от проникновения, запретите запуск исполняемых файлов из всех форматов архивов через локальные политики. + наличие бэкапов.

 

Изменено 23 ноября, 2023 пользователем safety