Перейти к содержанию

PC Locker 3.0 от Mr. Robot

S14Y3R
 Поделиться

Рекомендуемые сообщения

S14Y3R

S14Y3R

Опубликовано
Опубликовано

При попытке скачать программу VoiceMod с телеграм-канала Voicemod Pro и запуске из него файла Voicemod_setup.exe поймал вирус-шифровальщик вымогатель LockBit 3.0, который зашифровал всё содержимое Рабочего стола, папок Загрузки, Документы, Музыка, Изображения, Видео, и насоздавал кучу текстовых файлов с требованиями злоумышленников в каждой папке, включая App Data. Помимо зашифрования файлов был отключён и сделан неактивным Windows Defender, и теперь периодически (после каждого перезапуска (перезагрузки) системы поначалу всё хорошо, но оптом вылезает эта надпись в правом нижнем углу) слетает активация самой Windows с ошибкой "Не удаётся активировать Windows на этом устройстве, так как наши серверы активации на данный момент недоступны...", код ошибки - 0x80072EE7

FRST.txt Addition.txt 3R9qG8i3Z.README.txt зашифрованные файлы.zip

safety

safety

Опубликовано
Опубликовано (изменено)

билдер откуда у вас? надо понимать, что привели уже его в действие? запускаете все что может запускаться? готовите ответный удар?

2024-09-11 14:22 - 2024-09-11 14:22 - 002716960 _____ C:\Users\Клим\Downloads\LockBit-Black-Builder-main.zip
2024-09-11 14:19 - 2024-09-11 14:19 - 000147976 _____ C:\Users\Клим\Downloads\LockBit3Builder.7z
2024-09-10 23:44 - 2024-09-10 23:44 - 000000000 ____D C:\Users\Клим\Downloads\Build

 

Систему стоит пролечить от последствий майнера: левая учетка, папки, блокирующие установку антивируса.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

 

Изменено пользователем safety
S14Y3R

S14Y3R

Опубликовано
  • Автор
Опубликовано (изменено)
19 минут назад, safety сказал:

билдер откуда у вас? надо понимать, что привели уже его в действие? запускаете все что может запускаться? готовите ответный удар?

2024-09-11 14:22 - 2024-09-11 14:22 - 002716960 _____ C:\Users\Клим\Downloads\LockBit-Black-Builder-main.zip
2024-09-11 14:19 - 2024-09-11 14:19 - 000147976 _____ C:\Users\Клим\Downloads\LockBit3Builder.7z
2024-09-10 23:44 - 2024-09-10 23:44 - 000000000 ____D C:\Users\Клим\Downloads\Build

 

Я пытался с помощью декриптора из билда расшифровать файлы, но по итогу всё удаляется самой системой (хотя Defender неактивен), никаких злых намерений я не преследовал, а лишь решил пойти от обратного, что не получилось

19 минут назад, safety сказал:

Систему стоит пролечить от последствий майнера: левая учетка, папки, блокирующие установку антивируса.

Что вы имеете ввиду под левой учёткой? пользователя виндовс? и какие папки вы имеете ввиду?

Изменено пользователем S14Y3R
safety

safety

Опубликовано
Опубликовано (изменено)

John (S-1-5-21-3687736663-345841461-444913123-1002 - Administrator - Enabled)

 

Цитата

Имя: Ransom:Win32/LockBit.PD!MTB
ИД: 2147829188
Серьезность: Критический
Категория: Программа-шантажист
Путь: file:_C:\Users\Клим\Desktop\всё что надо\LockBit-Black-Builder-main\LockBit3Builder\Build\LB3Decryptor.exe
Начало обнаружения: Локальный компьютер

 

При каждом запуске билдера генерируется новый вариант шифровальщика Lockbit, так что если вы миллион раз его запустите, вы все равно не сможете повторить ключ, который используется в варианте от Mr.Robot.

дешифратор с другим ключом не поможет вам с расшифровкой ваших файлов. Нужен дешифратор/или ключ priv.key, который был создан вместе с шифровальщиком Mr.Robot.


 

Цитата

 

==================== FLock ==============================

2022-06-22 12:38 C:\AdwCleaner
2022-06-22 12:38 C:\KVRT2020_Data
2022-06-22 12:38 C:\KVRT_Data
2022-06-22 12:38 C:\Program Files\AVAST Software
2022-06-22 12:38 C:\Program Files\AVG
2022-06-22 12:38 C:\Program Files\Cezurity
2022-06-22 12:38 C:\Program Files\COMODO

 

 

По очистке системы:

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новые логи FRST для контроля.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

В основном, почистилось в AV_block_remover

 

Выполните дополнительно очистку в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
2024-09-11 14:22 - 2024-09-11 14:22 - 002716960 _____ C:\Users\Клим\Downloads\LockBit-Black-Builder-main.zip
2024-09-11 14:19 - 2024-09-11 14:19 - 000147976 _____ C:\Users\Клим\Downloads\LockBit3Builder.7z
2024-09-10 23:44 - 2024-09-10 23:44 - 000000000 ____D C:\Users\Клим\Downloads\Build
2024-09-10 15:25 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\AppData\Roaming\3R9qG8i3Z.README.txt
2024-09-10 15:25 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\AppData\3R9qG8i3Z.README.txt
2024-09-10 15:22 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\Downloads\3R9qG8i3Z.README.txt
2024-09-10 15:22 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\Documents\3R9qG8i3Z.README.txt
2024-09-10 15:20 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\3R9qG8i3Z.README.txt
2024-09-10 15:20 - 2024-09-10 15:22 - 000000953 _____ C:\Users\3R9qG8i3Z.README.txt
2024-09-10 15:20 - 2024-09-10 15:22 - 000000953 _____ C:\3R9qG8i3Z.README.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

S14Y3R

S14Y3R

Опубликовано
  • Автор
Опубликовано (изменено)

А как снова сделать рабочим Windows Defender? Или это решается только переустановкой Windows?
а в фикслоге не найдено, потому что я удалил эти папки

Fixlog.txt

Изменено пользователем S14Y3R
safety

safety

Опубликовано
Опубликовано

Такой еще скрипт выполните в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит автоматически перезагрузит систему.

  

Start::
AlternateDataStreams: C:\ProgramData:d7e1cd49 [1230]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\Users\All Users:d7e1cd49 [1230]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:d7e1cd49 [1230]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:d7e1cd49 [1230]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:d7e1cd49 [1230]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Клим\Application Data:d7e1cd49 [1230]
AlternateDataStreams: C:\Users\Клим\Application Data:NT [40]
AlternateDataStreams: C:\Users\Клим\Desktop\Заявление Тит.jpeg.3R9qG8i3Z:�3or4kl4x13tuuug3Byamue2s4b [81]
AlternateDataStreams: C:\Users\Клим\Desktop\Заявление Тит.jpeg.3R9qG8i3Z:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Клим\Downloads\паспорт 1.jpeg:�3or4kl4x13tuuug3Byamue2s4b [81]
AlternateDataStreams: C:\Users\Клим\Downloads\паспорт 1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Клим\Downloads\паспорт 2.jpeg:�3or4kl4x13tuuug3Byamue2s4b [81]
AlternateDataStreams: C:\Users\Клим\Downloads\паспорт 2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Клим\AppData\Roaming:d7e1cd49 [1230]
AlternateDataStreams: C:\Users\Клим\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Клим\AppData\Local\Temp:$DATA [16]
AlternateDataStreams: C:\Users\Клим\Documents\GTA San Andreas User Files:d7e1cd49 [1230]
EmptyTemp:
Reboot:
End::

После перезагрузки:

Добавьте новый файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите об оставшихся проблемах.

S14Y3R

S14Y3R

Опубликовано
  • Автор
Опубликовано

Fixlog.txtWindows Defender до сих пор не даёт о себе знать, и проблема с активацией Windows никуда не делась, лишь исчезла надпись снизу справа

safety

safety

Опубликовано
Опубликовано
26 минут назад, S14Y3R сказал:

Windows Defender до сих пор не даёт о себе знать, и проблема с активацией Windows никуда не делась, лишь исчезла надпись снизу справа

С этими проблемами пробуйте обратиться в Компьютерную помощь.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • RAUMANAGOYA
      PC Locker 3.0 от Mr. Robot
      Автор RAUMANAGOYA
      Поймал вирус шифровальщика-вымогателя, скачивая с телеграмма VoiceModPro. Файлы из папок видео, документы, изображения, appdata зашифрованы
      Формат любого с этих файлов - .3R9qG8i3Z
      3R9qG8i3Z.README.txt FRST.txt Addition.txt WinRAR ZIP archive.zip
    • ksim436
      PC Locker 3.0 от Mr. Robot зашифровал многие файлы
      Автор ksim436
      Доброго времени суток. Поймал вирус шифровальщика-вымогателя. Все файлы и папки раздела "загрузки", "видео", "изображенние" и "музыка" на компьютере были зашифрованы и не открываются ни в каком формате.
      Формат любого с этих файлов - .3R9qG8i3Z
      Хотя рабочий стол и другие папки диска C и D работают корректно. Также в каждой из указанных выше папках есть текстовый документ с информацией о оплате в одной телеграм канале.
      Возможно подхватил с установки адоб акробат с ненадежного источника
      FRST.txt Addition.txt virus.rar
    • k.mishnev87
      Словил шифровальщик Loki Locker
      Автор k.mishnev87
      Все доброго времени суток. Для начала туп как пробка, и совсем не разбираюсь в вопросе.
      Не смотря на то что у меня стоить Касперский Премиум, я каким то чудом словил шифровальщик Loki Locker.
      В ПК у меня стояло 5 дисков + сетевой диск к которому с ПК был безконтрольный доступ. Эта зараза зашифровала абсолютно все. Мен спасло только то что был свежий бэкап важно по работе информации.
      Но как итог, отключил 4 диска, системный снес и поставил чистую винду, подключил несистемный ССД, снес полностью заново проинициализировал, создал том. 
      Восстановил.
      Осталось еще 3 HDD, два по 4ТБ и один на 2 ТБ. Вот их надо спасти и дешифровать, там слишком много полезной информации.
      Прикрепляю три зашифрованных файла и текст требование. На сайте касперского и крипто шериф искал - нету.
       
      Помогите пожалуйста.
      Loki.rar
    • Kashey
      Поймал шифровальщик LoKi Locker помогите пожалуйста
      Автор Kashey
      Добрый день только поставил чистый сервер 2012 r2, и в течении полу дня поймали шифровальщика, "Loki Locker", по неопытности просканил KRD и удалил все намеки на вирус, но проблема соответственно не решилась, переустановил ОС и опять ничего ))) Как бы и было это и было ясно с самого начало, но попытка не пытка ))) На других локальных дисках была очень важная информация.
      Помогите пожалуйста.
      ОС Переустанавливал
      Зашифрованные файлы.7z Far Bar result files.7z Файл с требованиями.7z
    • Jafar_e
      Очень похоже на lockbit 3.0
      Автор Jafar_e
      Поймали паразита который зашифровал все файлы кроме программ и скриптов. С помощью ПО отловили нахождение.
      К компьютеру в был подключен NAS - результат зашифрован весь архив рабочий.
      В приложении образцы зашифрованных файлов, зловреда, отчет FRST и письмо счастья, в котом на удивление нет уникального ID и обои не были сменены на рабочем столе.
      pass: virus
      Mimik.zip
×
×
  • Создать...