Перейти к содержанию

Шифровальщик LockBit Black зашифровал файлы с расширением AppBel4Do


Рекомендуемые сообщения

Директор получил по почте письмо с файлом "Акт сверки за период 01.12.23 по 01.04.24" с логотипом xls, а расширение у файла было exe и он его конечно запустил. В итоге всё зашифровалось, в каждом каталоге текстовый файл AppBel4Do.README.txt, Вместо 2-х дисков(C,D) 4 (A,B,C,E), заблокированные Диспетчер задач, Реестр и удалена вся безопасность Windows.

Сам файл вируса расположился по адресу C:\Users\Admin\AppData\Local\Temp\RarSEXa8896.16671 и прописался в автозагрузку.

Интересно, файл я заархивировал с паролем, но при попытке скопировать на флешку папка тут же отчистилась 😵

Поможите расшифровать?! 

 

Addition.txtFRST.txtAppBel4Do.README.txt

Screenshot.JPG

Изменено пользователем Oleg22rus
Дополнения
Ссылка на сообщение
Поделиться на другие сайты

Архив с файлом если сохранился, загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные сообщения).

Если сохранилось вложение с исполняемым файлом из почты, так же добавить в архив с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные сообщения).

Просьба - не выкладывать ссылки в вашем сообщении на форуме в общий доступ.

 

Добавьте так же логи сканирования антивирусных утилит. (kvrt или Cureit), если уже выполняли скан.

 

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

Start::

HKU\S-1-5-21-3158883804-227913489-1336614523-1000\...\Run: [BraveUpdater.exe] => C:\Users\Admin\AppData\Local\Temp\Rar$EXa8896.16671\Aкт cвеpки взaимopaсчeтов за пepиoд 01.12.2023 - 01.04.2024 гoдa.exe (Нет файла) <==== ВНИМАНИЕ
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AppBel4Do.README.txt [2024-04-11] () [Файл не подписан]
2024-04-11 15:17 - 2024-04-11 15:17 - 002098230 _____ C:\ProgramData\AppBel4Do.bmp
2024-04-11 15:17 - 2024-04-11 15:17 - 000014336 ____T C:\ProgramData\E70.tmp
2024-04-11 15:15 - 2024-04-11 15:15 - 000001852 _____ C:\AppBel4Do.README.txt

End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • mappey3
      От mappey3
      все файлы зашифрованы как быть с этим?

    • Muhamor
      От Muhamor
      собственно зашифровало нужные файлы. Прошу помощи. 
      Addition.txt FRST.txt бухгал. письма на передвижку.docx.rar
    • S14Y3R
      От S14Y3R
      При попытке скачать программу VoiceMod с телеграм-канала Voicemod Pro и запуске из него файла Voicemod_setup.exe поймал вирус-шифровальщик вымогатель LockBit 3.0, который зашифровал всё содержимое Рабочего стола, папок Загрузки, Документы, Музыка, Изображения, Видео, и насоздавал кучу текстовых файлов с требованиями злоумышленников в каждой папке, включая App Data. Помимо зашифрования файлов был отключён и сделан неактивным Windows Defender, и теперь периодически (после каждого перезапуска (перезагрузки) системы поначалу всё хорошо, но оптом вылезает эта надпись в правом нижнем углу) слетает активация самой Windows с ошибкой "Не удаётся активировать Windows на этом устройстве, так как наши серверы активации на данный момент недоступны...", код ошибки - 0x80072EE7
      FRST.txt Addition.txt 3R9qG8i3Z.README.txt зашифрованные файлы.zip
    • ершик
    • RAUMANAGOYA
      От RAUMANAGOYA
      Поймал вирус шифровальщика-вымогателя, скачивая с телеграмма VoiceModPro. Файлы из папок видео, документы, изображения, appdata зашифрованы
      Формат любого с этих файлов - .3R9qG8i3Z
      3R9qG8i3Z.README.txt FRST.txt Addition.txt WinRAR ZIP archive.zip
×
×
  • Создать...

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.