lockbit v3 black Поймал шифровальщик 9ebhyPlsg

[ASPIDWAR]

Всем доброго времени суток. Поймал вирус шифровальщик через архив. Теперь все файлы перед форматом имеют расширение 9ebhyPlsg. Лог и прочие файлы прикладываю. Shif-Files - зашифрованный файл и файл с требованиями злоумышленников. С системой ничего не делал. Стоит Windows 7 X64

Addition.txt FRST.txt Shif-files.zip

[thyrex]

С расшифровкой помочь не сможем.

 

Чистка мусора в системе нужна или система под переустановку?

[ASPIDWAR]

4 минуты назад, thyrex сказал:

С расшифровкой помочь не сможем.

 

Чистка мусора в системе нужна или система под переустановку?

Можно чистку мусора в системе. Файлы ничем не расшифровать? Может поиск вируса шифровальщика поможет?

Изменено 6 августа, 2024 пользователем ASPIDWAR

[safety]

Этот файл заархивируйте с паролем virus, загрузите архив на облачный диск, пришлите ссылку на скачивание архива в ЛС (личные сообщения)

2024-07-24 12:57 - 2024-07-24 12:57 - 002077968 _____ (COMODO) C:\Users\Rab\Downloads\Aкт сверки взаимных расчетов предприятия №89 за период 1 марта -23 июля 2024 года .exe

Шифрование от команды room155,

Обращайте внимание на подобную почту с архивными вложениями "Aкт сверки взаимных расчетов*, в теле письма может быть указан даже пароль к архиву. Информируйте ваших сотрудников об этом.

Установите наконец в политиках, запрет на запуск исполняемых файлов из архивов.

 

Расшифровка по данному типу шифровальщика невозможна без приватного ключа. Восстановление возможно только из архивных копий, которые обязательно должны быть у вас и храниться на отдельных от системы носителях.

Изменено 7 августа, 2024 пользователем safety

[safety]

6 часов назад, safety сказал:

2024-07-24 12:57 - 2024-07-24 12:57 - 002077968 _____ (COMODO) C:\Users\Rab\Downloads\Aкт сверки взаимных расчетов предприятия №89 за период 1 марта -23 июля 2024 года .exe

текущий детект файла:

https://www.virustotal.com/gui/file/de3283836f72ff53462805a88501105625a65076731f2ac1a4bce01d6f4357a9?nocache=1

 

по очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

 

Start::
2024-07-31 10:12 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\AppData\LocalLow\9ebhyPlsg.README.txt
2024-07-31 10:12 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\AppData\Local\9ebhyPlsg.README.txt
2024-07-31 10:07 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\AppData\Roaming\9ebhyPlsg.README.txt
2024-07-31 10:07 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\AppData\9ebhyPlsg.README.txt
2024-07-31 09:57 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\Documents\9ebhyPlsg.README.txt
2024-07-31 09:57 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\Desktop\9ebhyPlsg.README.txt
2024-07-31 09:56 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\Downloads\9ebhyPlsg.README.txt
2024-07-31 09:55 - 2024-07-31 10:20 - 000001852 _____ C:\Users\TEMP\AppData\LocalLow\9ebhyPlsg.README.txt
2024-07-31 09:55 - 2024-07-31 10:20 - 000001852 _____ C:\Users\TEMP\AppData\Local\9ebhyPlsg.README.txt
2024-07-31 09:55 - 2024-07-31 10:20 - 000001852 _____ C:\Users\TEMP\AppData\9ebhyPlsg.README.txt
2024-07-31 09:55 - 2024-07-31 10:20 - 000001852 _____ C:\Users\TEMP\9ebhyPlsg.README.txt
2024-07-31 09:55 - 2024-07-31 10:20 - 000001852 _____ C:\Users\Rab\9ebhyPlsg.README.txt
2024-07-31 09:55 - 2024-07-31 10:20 - 000001852 _____ C:\Users\9ebhyPlsg.README.txt
2024-07-31 09:55 - 2024-07-31 10:20 - 000001852 _____ C:\9ebhyPlsg.README.txt
2024-07-24 12:57 - 2024-07-24 12:57 - 002077968 _____ (COMODO) C:\Users\Rab\Downloads\Aкт сверки взаимных расчетов предприятия №89 за период 1 марта -23 июля 2024 года .exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 7 августа, 2024 пользователем safety