Перейти к содержанию

Шифровальщик LockBit Black зашифровал файлы с расширением AppBel4Do

Oleg22rus
 Share Подписчики 1

Рекомендуемые сообщения

Oleg22rus

Oleg22rus 0

Опубликовано
Опубликовано (изменено)

Директор получил по почте письмо с файлом "Акт сверки за период 01.12.23 по 01.04.24" с логотипом xls, а расширение у файла было exe и он его конечно запустил. В итоге всё зашифровалось, в каждом каталоге текстовый файл AppBel4Do.README.txt, Вместо 2-х дисков(C,D) 4 (A,B,C,E), заблокированные Диспетчер задач, Реестр и удалена вся безопасность Windows.

Сам файл вируса расположился по адресу C:\Users\Admin\AppData\Local\Temp\RarSEXa8896.16671 и прописался в автозагрузку.

Интересно, файл я заархивировал с паролем, но при попытке скопировать на флешку папка тут же отчистилась 😵

Поможите расшифровать?! 

 

Addition.txtFRST.txtAppBel4Do.README.txt

Screenshot.JPG

Изменено пользователем Oleg22rus
Дополнения
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 96

Опубликовано
Опубликовано (изменено)

Архив с файлом если сохранился, загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные сообщения).

Если сохранилось вложение с исполняемым файлом из почты, так же добавить в архив с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные сообщения).

Просьба - не выкладывать ссылки в вашем сообщении на форуме в общий доступ.

 

Добавьте так же логи сканирования антивирусных утилит. (kvrt или Cureit), если уже выполняли скан.

 

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки. 

Start::

HKU\S-1-5-21-3158883804-227913489-1336614523-1000\...\Run: [BraveUpdater.exe] => C:\Users\Admin\AppData\Local\Temp\Rar$EXa8896.16671\Aкт cвеpки взaимopaсчeтов за пepиoд 01.12.2023 - 01.04.2024 гoдa.exe (Нет файла) <==== ВНИМАНИЕ
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AppBel4Do.README.txt [2024-04-11] () [Файл не подписан]
2024-04-11 15:17 - 2024-04-11 15:17 - 002098230 _____ C:\ProgramData\AppBel4Do.bmp
2024-04-11 15:17 - 2024-04-11 15:17 - 000014336 ____T C:\ProgramData\E70.tmp
2024-04-11 15:15 - 2024-04-11 15:15 - 000001852 _____ C:\AppBel4Do.README.txt

End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Дмитрий Романович
      Помощь в вирусе шифровальщике j8mzhi9uZ
      От Дмитрий Романович
      Добрый день. Поймали вирус. Можно спасти базу? 
      прилагаю логи и сообщение о выкупе. 
      Архив.zip FRST.txt j8mzhi9uZ.README.txt Shortcut.txt
    • ivsh69
      шифровальщик
      От ivsh69
      Здравствуйте, зашифровали все рабочие файлы, доступ скорее всего получили череp rdp, Касперский Small Office Security 6 выключили, файл  с вымогательством прилагается.  Отправил им два зашифрованных файла (заархивировал их), они прислали расшифрованные два. тоже прилагаются. 
      xxzKHNO0a.README.txt Оборотно-сальдовая ведомость за Октябрь 2023 г..xlsx Счет на оплату № 27 от 17 января 2024 г.pdf dXCYb6w.zip
    • Smoke-19
      Зашифрованны данные в имя_файла.hZiV1YwzR
      От Smoke-19
      Здравствуйте!
      Злоумышленники проникли в сеть и самостоятельно запустили шифровальщика на работающих ночью компьютерах и серверах.
      Доступными утилитами расшифровать не получается. 
      На одном из серверов нашел экземпляр самого шифровальщика (не только ехе-файл)
      Просим помочь на платной основе расшифровать наши данные, спасибо!
      Зашифрованные и оригинальные файлы.rar Логи анализа системы.rar
    • Дмитрий Романович
      Вирус шифровальщик j8mzhi9uZ
      От Дмитрий Романович
      Добрый день. Прошу помощи. Поймали вирус шифровальщик j8mzhi9uZ. 

      Система была переустановлена. 
      Архив.zip Addition.txt FRST.txt Search.txt Shortcut.txt
    • Ksana24
      Вирус заблокировал все базы по 1С
      От Ksana24
      Здравствуйте! 
      26.05.24 вирус шифровальщик -вымогатель  заблокировал все базы по !С  расширение j8mzhi9uZ.
      Помогите
      Addition.txt Crypted.rar FRST.txt
×
×
  • Создать...