lockbit v3 black Шифровальщик LockBit Black зашифровал файлы с расширением AppBel4Do

[Oleg22rus]

Директор получил по почте письмо с файлом "Акт сверки за период 01.12.23 по 01.04.24" с логотипом xls, а расширение у файла было exe и он его конечно запустил. В итоге всё зашифровалось, в каждом каталоге текстовый файл AppBel4Do.README.txt, Вместо 2-х дисков(C,D) 4 (A,B,C,E), заблокированные Диспетчер задач, Реестр и удалена вся безопасность Windows.

Сам файл вируса расположился по адресу C:\Users\Admin\AppData\Local\Temp\RarSEXa8896.16671 и прописался в автозагрузку.

Интересно, файл я заархивировал с паролем, но при попытке скопировать на флешку папка тут же отчистилась 😵

Поможите расшифровать?! 

 

Addition.txtFRST.txtAppBel4Do.README.txt

Изменено 13 апреля, 2024 пользователем Oleg22rus
Дополнения

[safety]

Архив с файлом если сохранился, загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные сообщения).

Если сохранилось вложение с исполняемым файлом из почты, так же добавить в архив с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные сообщения).

Просьба - не выкладывать ссылки в вашем сообщении на форуме в общий доступ.

 

Добавьте так же логи сканирования антивирусных утилит. (kvrt или Cureit), если уже выполняли скан.

 

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

Start::

HKU\S-1-5-21-3158883804-227913489-1336614523-1000\...\Run: [BraveUpdater.exe] => C:\Users\Admin\AppData\Local\Temp\Rar$EXa8896.16671\Aкт cвеpки взaимopaсчeтов за пepиoд 01.12.2023 - 01.04.2024 гoдa.exe (Нет файла) <==== ВНИМАНИЕ
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AppBel4Do.README.txt [2024-04-11] () [Файл не подписан]
2024-04-11 15:17 - 2024-04-11 15:17 - 002098230 _____ C:\ProgramData\AppBel4Do.bmp
2024-04-11 15:17 - 2024-04-11 15:17 - 000014336 ____T C:\ProgramData\E70.tmp
2024-04-11 15:15 - 2024-04-11 15:15 - 000001852 _____ C:\AppBel4Do.README.txt

End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

Изменено 14 апреля, 2024 пользователем safety

[safety]

С расшифровкой по данному типу шифровальщика не сможем помочь.