Перейти к содержанию

PC Locker 3.0 от Mr. Robot

S14Y3R
 Поделиться

Рекомендуемые сообщения

S14Y3R

S14Y3R

Опубликовано
Опубликовано

При попытке скачать программу VoiceMod с телеграм-канала Voicemod Pro и запуске из него файла Voicemod_setup.exe поймал вирус-шифровальщик вымогатель LockBit 3.0, который зашифровал всё содержимое Рабочего стола, папок Загрузки, Документы, Музыка, Изображения, Видео, и насоздавал кучу текстовых файлов с требованиями злоумышленников в каждой папке, включая App Data. Помимо зашифрования файлов был отключён и сделан неактивным Windows Defender, и теперь периодически (после каждого перезапуска (перезагрузки) системы поначалу всё хорошо, но оптом вылезает эта надпись в правом нижнем углу) слетает активация самой Windows с ошибкой "Не удаётся активировать Windows на этом устройстве, так как наши серверы активации на данный момент недоступны...", код ошибки - 0x80072EE7

FRST.txt Addition.txt 3R9qG8i3Z.README.txt зашифрованные файлы.zip

safety

safety

Опубликовано
Опубликовано (изменено)

билдер откуда у вас? надо понимать, что привели уже его в действие? запускаете все что может запускаться? готовите ответный удар?

2024-09-11 14:22 - 2024-09-11 14:22 - 002716960 _____ C:\Users\Клим\Downloads\LockBit-Black-Builder-main.zip
2024-09-11 14:19 - 2024-09-11 14:19 - 000147976 _____ C:\Users\Клим\Downloads\LockBit3Builder.7z
2024-09-10 23:44 - 2024-09-10 23:44 - 000000000 ____D C:\Users\Клим\Downloads\Build

 

Систему стоит пролечить от последствий майнера: левая учетка, папки, блокирующие установку антивируса.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

 

Изменено пользователем safety
S14Y3R

S14Y3R

Опубликовано
  • Автор
Опубликовано (изменено)
19 минут назад, safety сказал:

билдер откуда у вас? надо понимать, что привели уже его в действие? запускаете все что может запускаться? готовите ответный удар?

2024-09-11 14:22 - 2024-09-11 14:22 - 002716960 _____ C:\Users\Клим\Downloads\LockBit-Black-Builder-main.zip
2024-09-11 14:19 - 2024-09-11 14:19 - 000147976 _____ C:\Users\Клим\Downloads\LockBit3Builder.7z
2024-09-10 23:44 - 2024-09-10 23:44 - 000000000 ____D C:\Users\Клим\Downloads\Build

 

Я пытался с помощью декриптора из билда расшифровать файлы, но по итогу всё удаляется самой системой (хотя Defender неактивен), никаких злых намерений я не преследовал, а лишь решил пойти от обратного, что не получилось

19 минут назад, safety сказал:

Систему стоит пролечить от последствий майнера: левая учетка, папки, блокирующие установку антивируса.

Что вы имеете ввиду под левой учёткой? пользователя виндовс? и какие папки вы имеете ввиду?

Изменено пользователем S14Y3R
safety

safety

Опубликовано
Опубликовано (изменено)

John (S-1-5-21-3687736663-345841461-444913123-1002 - Administrator - Enabled)

 

Цитата

Имя: Ransom:Win32/LockBit.PD!MTB
ИД: 2147829188
Серьезность: Критический
Категория: Программа-шантажист
Путь: file:_C:\Users\Клим\Desktop\всё что надо\LockBit-Black-Builder-main\LockBit3Builder\Build\LB3Decryptor.exe
Начало обнаружения: Локальный компьютер

 

При каждом запуске билдера генерируется новый вариант шифровальщика Lockbit, так что если вы миллион раз его запустите, вы все равно не сможете повторить ключ, который используется в варианте от Mr.Robot.

дешифратор с другим ключом не поможет вам с расшифровкой ваших файлов. Нужен дешифратор/или ключ priv.key, который был создан вместе с шифровальщиком Mr.Robot.


 

Цитата

 

==================== FLock ==============================

2022-06-22 12:38 C:\AdwCleaner
2022-06-22 12:38 C:\KVRT2020_Data
2022-06-22 12:38 C:\KVRT_Data
2022-06-22 12:38 C:\Program Files\AVAST Software
2022-06-22 12:38 C:\Program Files\AVG
2022-06-22 12:38 C:\Program Files\Cezurity
2022-06-22 12:38 C:\Program Files\COMODO

 

 

По очистке системы:

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новые логи FRST для контроля.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

В основном, почистилось в AV_block_remover

 

Выполните дополнительно очистку в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
2024-09-11 14:22 - 2024-09-11 14:22 - 002716960 _____ C:\Users\Клим\Downloads\LockBit-Black-Builder-main.zip
2024-09-11 14:19 - 2024-09-11 14:19 - 000147976 _____ C:\Users\Клим\Downloads\LockBit3Builder.7z
2024-09-10 23:44 - 2024-09-10 23:44 - 000000000 ____D C:\Users\Клим\Downloads\Build
2024-09-10 15:25 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\AppData\Roaming\3R9qG8i3Z.README.txt
2024-09-10 15:25 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\AppData\3R9qG8i3Z.README.txt
2024-09-10 15:22 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\Downloads\3R9qG8i3Z.README.txt
2024-09-10 15:22 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\Documents\3R9qG8i3Z.README.txt
2024-09-10 15:20 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\3R9qG8i3Z.README.txt
2024-09-10 15:20 - 2024-09-10 15:22 - 000000953 _____ C:\Users\3R9qG8i3Z.README.txt
2024-09-10 15:20 - 2024-09-10 15:22 - 000000953 _____ C:\3R9qG8i3Z.README.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

S14Y3R

S14Y3R

Опубликовано
  • Автор
Опубликовано (изменено)

А как снова сделать рабочим Windows Defender? Или это решается только переустановкой Windows?
а в фикслоге не найдено, потому что я удалил эти папки

Fixlog.txt

Изменено пользователем S14Y3R
safety

safety

Опубликовано
Опубликовано

Такой еще скрипт выполните в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит автоматически перезагрузит систему.

  

Start::
AlternateDataStreams: C:\ProgramData:d7e1cd49 [1230]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\Users\All Users:d7e1cd49 [1230]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:d7e1cd49 [1230]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:d7e1cd49 [1230]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:d7e1cd49 [1230]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Клим\Application Data:d7e1cd49 [1230]
AlternateDataStreams: C:\Users\Клим\Application Data:NT [40]
AlternateDataStreams: C:\Users\Клим\Desktop\Заявление Тит.jpeg.3R9qG8i3Z:�3or4kl4x13tuuug3Byamue2s4b [81]
AlternateDataStreams: C:\Users\Клим\Desktop\Заявление Тит.jpeg.3R9qG8i3Z:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Клим\Downloads\паспорт 1.jpeg:�3or4kl4x13tuuug3Byamue2s4b [81]
AlternateDataStreams: C:\Users\Клим\Downloads\паспорт 1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Клим\Downloads\паспорт 2.jpeg:�3or4kl4x13tuuug3Byamue2s4b [81]
AlternateDataStreams: C:\Users\Клим\Downloads\паспорт 2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Клим\AppData\Roaming:d7e1cd49 [1230]
AlternateDataStreams: C:\Users\Клим\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Клим\AppData\Local\Temp:$DATA [16]
AlternateDataStreams: C:\Users\Клим\Documents\GTA San Andreas User Files:d7e1cd49 [1230]
EmptyTemp:
Reboot:
End::

После перезагрузки:

Добавьте новый файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите об оставшихся проблемах.

S14Y3R

S14Y3R

Опубликовано
  • Автор
Опубликовано

Fixlog.txtWindows Defender до сих пор не даёт о себе знать, и проблема с активацией Windows никуда не делась, лишь исчезла надпись снизу справа

safety

safety

Опубликовано
Опубликовано
26 минут назад, S14Y3R сказал:

Windows Defender до сих пор не даёт о себе знать, и проблема с активацией Windows никуда не делась, лишь исчезла надпись снизу справа

С этими проблемами пробуйте обратиться в Компьютерную помощь.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • RomanNQ
      Добрый день. Словили шифровальщик с расширением .gxj5ip3z2
      Автор RomanNQ
      Прикладываю файл записки и зашифрованный файл. Прошу помочь с идентификацией шифровальщика и возможно с поиском дескриптора.   
      gxj5ip3z2.README.txt Система_контроля_передвижений_и_перемещений_docx_gxj5ip3z2.rar
    • Александр 1190
      Попал шифровальщик на сервер, зашифрованы файлы, просит выкуп CVFJIb2N.README.txt
      Автор Александр 1190
      Добрый день!
       
      16.02.2026
       
      При запуске сервера на рабочем столе отобразилось сообщение LockBit Black. All your important files are stolen and encrypted! You must find CVFJSIb2N.README.txt  и сам открылся этот файл в блокноте с содержанием:
      "Все ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи, так как только у нас есть дешифратор и специальный ключ расшифровки". 
      Для расшифровки файлов просят оплатить услуги по расшифровке. Для получения информации ссылаются на почтовый ящик onlinedecodeallfiles@gmail.com
       
      Какой порядок действий нужно предпринять в данном случае? Как дешифровать файлы? Можно ли использовать антивирус и решит ли это проблему?
      Можно ли связаться со специалистами касперского по телефону для помощи по данному вопросу и по какому контактному номеру?
       
      Спасибо!
    • Andrey1015
      Троян зашифровал файлы на компьютере
      Автор Andrey1015
      Здравствуйте. 
       
      Не понятно как, но на компютере в домене прилетел троян, судя по всему по эл.почте. Учетная запись без прав администратора. Зашиврофали все файлы на локальных дисках и некоторые файлы на сетевых дисках, куда был доступ у данной учетной записи. Файл трояна был удален, назывался как-то "sputnik_...". Во вложении архив с зашифрованными файлами и файлом .txt с требованиями.
       
      files.zip FRST.txt Addition.txt
    • Amirsvami
      Шифровальщик попал в организацию!
      Автор Amirsvami
      Добрый день! 
      Сегодня ночью подверглись атаке шифровальщика. Разрушил всё! Начиная с файлов (частично) заканчивая бекапами и базами данных, а так же виртуальные машины. Просьба написать, какие данные скинуть для анализа, возможно уже был похожий кейс. А, и ещё, в организации нашей установлен корпоративный Касперский.

    • Юрий_86
      Шифровальщик lockbit v3 black
      Автор Юрий_86
      Поймал шифровальщик. Во вложении архив с зашифрованным и исходным файлом, плюс письмо о выкупе.
      Антивирусом Cureit проверяли, ничего не нашли. Система полностью переустановлена. Никаких логов нет.
      Подскажите, есть ли способ расшифровать?
      Архив.zip
×
×
  • Создать...