lockbit v3 black Пошифровали все файлы на нескольких компах.

[KSab]

Всем добрый день, хотя кому-то он и не особо добрый.

Каким-то образом взломали сеть и пошифровали все файлы на серверах!

При том, что стоял касперский-сервер и на многих станциях был развернул Workstation - не спасло((

Теперь на десктопе, в корне каждой папки лежат файлы: 3KjQa6buA.README.txt

Помогите расшифровать, пожалуйста!!

 

Addition.txt FRST.txt

Изменено 1 марта пользователем KSab

[Sandor]

Здравствуйте!

 

Образцы зашифрованных и записку прикрепите в архиве к следующему сообщению, пожалуйста

Порядок оформления запроса о помощи

+

В логах не видно следов заражения, а антивирус стоит 360 Total Security.

Если собирали логи на другом компьютере, они бесполезны.

[KSab]

Да, торопился, не прочитал до конца инструкцию)

 

Addition.txt FRST.txt файлы.zip

[Sandor]

К сожалению, расшифровки этого типа вымогателя нет.

Помощь в очистке системы нужна или будет переустановка?

 

1 час назад, KSab сказал:

на многих станциях был развернул Workstation - не спасло((

Если был взломан пароль администратора, злоумышленнику ничего не помешало остановить антивирус.

[KSab]

2 минуты назад, Sandor сказал:

К сожалению, расшифровки этого типа вымогателя нет.

Помощь в очистке системы нужна или будет переустановка?

 

Если был взломан пароль администратора, злоумышленнику ничего не помешало остановить антивирус.

Пароль админа взломать никак не могли. Взломали, скорее всего, через уязвимость в портале Confulence. Получили доступ и дальше пошли по сети. Я на сервере Confulence нашел логи санирования нашей сети.

[KSab]

7 часов назад, Sandor сказал:

К сожалению, расшифровки этого типа вымогателя нет.

Помощь в очистке системы нужна или будет переустановка?

 

Если был взломан пароль администратора, злоумышленнику ничего не помешало остановить антивирус.

Вопрос ещё есть: я успел "спасти" один сервак: он был в процессе шифрования (там очень много инфы на диске) и я его как раз в этот момент выключил.

Теперь вопрос: поможет ли это в расшифрове каким-то образом, или нет? Ведь там, по идее, должен остаться шифровальщик с ключом шифрования..

[safety]

2 minutes ago, KSab said:

поможет ли это в расшифрове каким-то образом, или нет? Ведь там, по идее, должен остаться шифровальщик с ключом шифрования..

Не поможет, так как для расшифровки необходим приватный ключ priv.key, а в шифровальщик встроен только публичный ключ pub.key. Единственно, если вы сможете вытащить из этого сервера файл шифровальщика (если он не защищен паролем), то мы сможем извлечь pub.key. Может, когда нибудь станет возможным по pub.key восстановить priv.key. Сейчас это невозможно.

[KSab]

EARTH_2024-03-01_22-15-46_v4.15.1.7z

Это данные с сервака, который я успел выключить в процессе шифрования.

Изменено 1 марта пользователем KSab

[safety]

Систему просканировали антивирусом перед созданием образа автозапуска? можете добавить логи сканирования?