lockbit v3 black Зашифровали виртуализацию и все файлы

[Aleksandr_85]

Здравствуйте. 

Зашифровали ВМ и все файлы на физических серверах.Archive.zip

[thyrex]

В правилах не сказало устанавливать пароль на архив с логами. Какой пароль?

 

В правилах сказано прислать примеры зашифрованных файлов и сообщение вымогателей для связи с ними. Приступайте.

[Aleksandr_85]

Пароль - Archive

Пример файлов во вложении

Primer.zip

[safety]

1. Файл

2024-07-22 00:27 - 2024-07-21 22:34 - 000145408 _____ () C:\ProgramData\ds.exe

заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

С большой вероятностью файлы зашифрованы Lockbit v3 Black

 

Возможна атака выполняется через политики с контроллера домена.

Пока DC не очищены, лучше не включать ПК(которые возможно еще не заражены), которые авторизуются в домене при загрузке системы.

------------

 

 

Изменено 26 июля пользователем safety

[safety]

по очистке текущей системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и перезагрузит ее

 

Start::
(cmd.exe ->) () [Файл не подписан] C:\ProgramData\ds.exe <2>
2024-07-22 00:27 - 2024-07-21 22:34 - 000145408 _____ C:\ProgramData\ds.exe
2024-07-22 00:27 - 2024-07-21 22:34 - 000145408 _____ () C:\ProgramData\ds.exe
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4270648735-1747256919-4016143198-1990\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {F7EFA5C9-3058-4B8A-A522-59FF8E658425} - System32\Tasks\1 => C:\Windows\system32\WindowsPowerShell\v1.0\POWERSHELL.EXE [448000 2018-09-15] (Microsoft Windows -> Microsoft Corporation) -> Copy-Item "\\int.***.ru\netlogon\ds.exe" -Destination "C:\ProgramData"
Task: {340A36F1-1432-4C5E-9EB7-1F0353749E93} - System32\Tasks\2 => C:\Windows\system32\cmd.exe [278528 2021-01-09] (Microsoft Windows -> Microsoft Corporation) -> /c c:\programdata\ds.exe -pass 7d3f3fde525328ab6a96ec7bdf604b87
Task: {6D7B213E-EE64-4BBC-8DE2-6BA123777231} - System32\Tasks\3 => C:\Windows\system32\cmd.exe [278528 2021-01-09] (Microsoft Windows -> Microsoft Corporation) -> /c \\int.***.ru\netlogon\ds.exe -pass 7d3f3fde525328ab6a96ec7bdf604b87
2024-07-22 00:32 - 2024-07-22 00:32 - 000020266 __RSH C:\ProgramData\ntuser.pol
2024-07-22 00:32 - 2024-07-22 00:32 - 000003544 _____ C:\Windows\system32\Tasks\3
2024-07-22 00:32 - 2024-07-22 00:32 - 000003518 _____ C:\Windows\system32\Tasks\2
2024-07-25 23:24 - 2024-07-25 23:24 - 000003782 _____ C:\Windows\system32\Tasks\1
2024-07-22 00:46 - 2024-07-22 00:46 - 000000972 _____ C:\Users\Администратор\kh9ll6Cxy.README.txt
End::

После перезагрузки системы:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

+

добавьте новые логи FRST для контроля.

=

Изменено 25 июля пользователем safety

[Aleksandr_85]

FRST.zipPrimer.zipFixlog.zip

Здравствуйте, файлы прикладываю

[safety]

скрипт выполнился успешно, в новом логе FRST сэмпла шифровальщика и задач запуска нет.

(Но файл FRST.txt в архиве усечен, нет первой половины лога.)

Ждем архив с карантином после выполнения скрипта FRST

Цитата

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Изменено 26 июля пользователем safety

[safety]

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.