lockbit v3 black шифровальщик, расширение vwnC5jnj6

[Александр Э. С]

Добрый день.

На компьютере зашифровали файлы, добавилось расширение vwnC5jnj6.

ПК установлен в сети, на других ПК шифрование не произошло.

На данном ПК установлено два жестких диска, часть второго диска оказалось не шифровано, файлы до 2019 г. включительно.

 

FRST.rar файл письма об оплате.rar файлы зашифрованные.rar файлы из карантина антивирусника.rar

[safety]

Этот файл добавьте в архив с паролем infected, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

2023-12-14 10:14 - 2023-12-13 16:01 - 000106744 _____ (Windows Application Model Core API) C:\Users\1\Downloads\Aкт cвepки взaимopacчeтoв за периoд  01.09 - 12.12.2023 гoдa.exe

update:

Kaspersky HEUR:Trojan.MSIL.Skeeyah.gen

https://www.virustotal.com/gui/file/f59509eb96b9014688470de1a9919d3cf6ce65b794edcede9ba9e7766d10df5a?nocache=1

 

dpart.exe - возможно агент.

https://www.virustotal.com/gui/file/a1bc526208224b40f00519a695f938afff056fec2d9b2ee3f9bfd8a89f384657?nocache=1

 

nircmd - возможно тулз.

https://www.virustotal.com/gui/file/b994ae5cbfb5ad308656e9a8bf7a4a866fdeb9e23699f89f048d7f92e6bb8577?nocache=1

 

zero = агент

https://www.virustotal.com/gui/file/4c2e53c0acb28da70f028910655142f90769beebfef3089e16e2187aa09641c4?nocache=1

 

т.е. файла шифровальщика здесь нет.

 

+

проверьте ЛС

 

Изменено 19 декабря, 2023 пользователем safety

[safety]

обратите внимание, что в почту сотрудникам может прийти сообщение с вложенным архивом, который содержит подобный вредоносный файл (замаскированный под офисный документ):

"Aкт cвepки взaимopacчeтoв за периoд  01.09 - 12.12.2023 гoдa.exe"

+

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено 19 декабря, 2023 пользователем safety

[Александр Э. С]

Сделал файл образа автозапуска через uVS

ELENA_2023-12-21_17-23-15_v4.14.1.7z

[safety]

Один файлик еще активный остался.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.15 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\UPDATER.EXE
addsgn 1A0D2B9A5583E88CF42B254E3143FE86C9AA77B381AC48128D9A7BE4A09771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 MSIL/Filecoder.LokiLocker.D 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\CCG.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref F:\SETUP.EXE
delref %SystemDrive%\USERS\1\APPDATA\ROAMING\ROSTELECOM\IFCPLUGIN\3.1.0.0\X32\FIREFOXEXTENTION.XPI
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.24.313\KDAXAPI-3.0.24.313.DLL
delref %SystemDrive%\AUTOWORKINTALLER\AUTOTUNINGWORKPLACE.EXE
delref %SystemDrive%\TOTAL COMMANDER EXTENDED\LANGUAGE\URL.URL
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z из папки uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено 21 декабря, 2023 пользователем safety

[Александр Э. С]

https://cloud.mail.ru/public/CX7m/5Bn6KnATp  - Дата_времяlog.txt

 

https://cloud.mail.ru/public/BdPY/9jHCaRDuc - ZOO_дата_время.7z из папки uVS

 

проблема майнера осталась. ПК отключен от сети и интернета.

[Sandor]

1 час назад, Александр Э. С сказал:

проблема майнера осталась

Майнера или вымогателя?

 

Отчёты лучше прикреплять к сообщению (значок скрепки внизу).

[safety]

1 hour ago, Александр Э. С said:

https://cloud.mail.ru/public/BdPY/9jHCaRDuc - ZOO_дата_время.7z из папки uVS

Это все таки бэкдор, поменяли ему имя:

https://www.virustotal.com/gui/file/7845163fcc90028b54485100f82e5cd3cd7491de537f27fbd295635c3264b24d?nocache=1

 

судя по логу выполнения скрипта должен быть удален.

Успешно выгружен C:\USERS\1\APPDATA\ROAMING\UPDATER.EXE [pid=444]
Удаление ссылок...
Удаление файлов...
--------------------------------------------------------
Завершено процессов: 1 из 1
Изменено/удалено объектов автозапуска 0 из 0
Удалено файлов: 2 из 2

 

Если есть подозрения, что не все было зачищено, сделайте повторные логи FRST и образ uVS

записку о выкупе можно удалить из этой папки, угрозы от нее нет

C:\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VWNC5JNJ6.README.TXT

Изменено 22 декабря, 2023 пользователем safety

[Александр Э. С]

Понятно, сделаю в понедельник, 

Дополнительное расширение на файлах осталось. 

Только два файла на раб.столе начали открыватья. 

[safety]

6 hours ago, Александр Э. С said:

Дополнительное расширение на файлах осталось. 

Пока что мы работали над очисткой системы от последствий атаки шифрования.

Сами файлы, к сожалению, на текущий момент невозможно расшифровать без приватного ключа. Файлы зашифрованы Lockbit v3 Black/CryptomanGizmo. Сохраните важные зашифрованные файлы на отдельный носитель, возможно будущем, расшифровка их станет возможным.

[Александр Э. С]

Понятно, спасибо.