lockbit v3 black PC Locker 3.0 от Mr. Robot

[S14Y3R]

При попытке скачать программу VoiceMod с телеграм-канала Voicemod Pro и запуске из него файла Voicemod_setup.exe поймал вирус-шифровальщик вымогатель LockBit 3.0, который зашифровал всё содержимое Рабочего стола, папок Загрузки, Документы, Музыка, Изображения, Видео, и насоздавал кучу текстовых файлов с требованиями злоумышленников в каждой папке, включая App Data. Помимо зашифрования файлов был отключён и сделан неактивным Windows Defender, и теперь периодически (после каждого перезапуска (перезагрузки) системы поначалу всё хорошо, но оптом вылезает эта надпись в правом нижнем углу) слетает активация самой Windows с ошибкой "Не удаётся активировать Windows на этом устройстве, так как наши серверы активации на данный момент недоступны...", код ошибки - 0x80072EE7

FRST.txt Addition.txt 3R9qG8i3Z.README.txt зашифрованные файлы.zip

[safety]

билдер откуда у вас? надо понимать, что привели уже его в действие? запускаете все что может запускаться? готовите ответный удар?

2024-09-11 14:22 - 2024-09-11 14:22 - 002716960 _____ C:\Users\Клим\Downloads\LockBit-Black-Builder-main.zip
2024-09-11 14:19 - 2024-09-11 14:19 - 000147976 _____ C:\Users\Клим\Downloads\LockBit3Builder.7z
2024-09-10 23:44 - 2024-09-10 23:44 - 000000000 ____D C:\Users\Клим\Downloads\Build

 

Систему стоит пролечить от последствий майнера: левая учетка, папки, блокирующие установку антивируса.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

 

Изменено 13 сентября, 2024 пользователем safety

[S14Y3R]

19 минут назад, safety сказал:

билдер откуда у вас? надо понимать, что привели уже его в действие? запускаете все что может запускаться? готовите ответный удар?

2024-09-11 14:22 - 2024-09-11 14:22 - 002716960 _____ C:\Users\Клим\Downloads\LockBit-Black-Builder-main.zip
2024-09-11 14:19 - 2024-09-11 14:19 - 000147976 _____ C:\Users\Клим\Downloads\LockBit3Builder.7z
2024-09-10 23:44 - 2024-09-10 23:44 - 000000000 ____D C:\Users\Клим\Downloads\Build

 

Я пытался с помощью декриптора из билда расшифровать файлы, но по итогу всё удаляется самой системой (хотя Defender неактивен), никаких злых намерений я не преследовал, а лишь решил пойти от обратного, что не получилось

19 минут назад, safety сказал:

Систему стоит пролечить от последствий майнера: левая учетка, папки, блокирующие установку антивируса.

Что вы имеете ввиду под левой учёткой? пользователя виндовс? и какие папки вы имеете ввиду?

Изменено 13 сентября, 2024 пользователем S14Y3R

[safety]

John (S-1-5-21-3687736663-345841461-444913123-1002 - Administrator - Enabled)

 

Цитата

Имя: Ransom:Win32/LockBit.PD!MTB
ИД: 2147829188
Серьезность: Критический
Категория: Программа-шантажист
Путь: file:_C:\Users\Клим\Desktop\всё что надо\LockBit-Black-Builder-main\LockBit3Builder\Build\LB3Decryptor.exe
Начало обнаружения: Локальный компьютер

 

При каждом запуске билдера генерируется новый вариант шифровальщика Lockbit, так что если вы миллион раз его запустите, вы все равно не сможете повторить ключ, который используется в варианте от Mr.Robot.

дешифратор с другим ключом не поможет вам с расшифровкой ваших файлов. Нужен дешифратор/или ключ priv.key, который был создан вместе с шифровальщиком Mr.Robot.

 

Цитата

 

==================== FLock ==============================

2022-06-22 12:38 C:\AdwCleaner
2022-06-22 12:38 C:\KVRT2020_Data
2022-06-22 12:38 C:\KVRT_Data
2022-06-22 12:38 C:\Program Files\AVAST Software
2022-06-22 12:38 C:\Program Files\AVG
2022-06-22 12:38 C:\Program Files\Cezurity
2022-06-22 12:38 C:\Program Files\COMODO

 

 

По очистке системы:

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новые логи FRST для контроля.

 

Изменено 13 сентября, 2024 пользователем safety

[S14Y3R]

Addition.txtFRST.txtAV_block_remove_2024.09.13-14.47.log Насчёт скинутого списка FLock не совсем понял, что нужно сделать

[safety]

В основном, почистилось в AV_block_remover

 

Выполните дополнительно очистку в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

 

Start::
2024-09-11 14:22 - 2024-09-11 14:22 - 002716960 _____ C:\Users\Клим\Downloads\LockBit-Black-Builder-main.zip
2024-09-11 14:19 - 2024-09-11 14:19 - 000147976 _____ C:\Users\Клим\Downloads\LockBit3Builder.7z
2024-09-10 23:44 - 2024-09-10 23:44 - 000000000 ____D C:\Users\Клим\Downloads\Build
2024-09-10 15:25 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\AppData\Roaming\3R9qG8i3Z.README.txt
2024-09-10 15:25 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\AppData\3R9qG8i3Z.README.txt
2024-09-10 15:22 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\Downloads\3R9qG8i3Z.README.txt
2024-09-10 15:22 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\Documents\3R9qG8i3Z.README.txt
2024-09-10 15:20 - 2024-09-10 15:22 - 000000953 _____ C:\Users\Клим\3R9qG8i3Z.README.txt
2024-09-10 15:20 - 2024-09-10 15:22 - 000000953 _____ C:\Users\3R9qG8i3Z.README.txt
2024-09-10 15:20 - 2024-09-10 15:22 - 000000953 _____ C:\3R9qG8i3Z.README.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[S14Y3R]

А как снова сделать рабочим Windows Defender? Или это решается только переустановкой Windows?
а в фикслоге не найдено, потому что я удалил эти папки

Fixlog.txt

Изменено 13 сентября, 2024 пользователем S14Y3R

[safety]

Такой еще скрипт выполните в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит автоматически перезагрузит систему.

 

Start::
AlternateDataStreams: C:\ProgramData:d7e1cd49 [1230]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\Users\All Users:d7e1cd49 [1230]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:d7e1cd49 [1230]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:d7e1cd49 [1230]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:d7e1cd49 [1230]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Клим\Application Data:d7e1cd49 [1230]
AlternateDataStreams: C:\Users\Клим\Application Data:NT [40]
AlternateDataStreams: C:\Users\Клим\Desktop\Заявление Тит.jpeg.3R9qG8i3Z:�3or4kl4x13tuuug3Byamue2s4b [81]
AlternateDataStreams: C:\Users\Клим\Desktop\Заявление Тит.jpeg.3R9qG8i3Z:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Клим\Downloads\паспорт 1.jpeg:�3or4kl4x13tuuug3Byamue2s4b [81]
AlternateDataStreams: C:\Users\Клим\Downloads\паспорт 1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Клим\Downloads\паспорт 2.jpeg:�3or4kl4x13tuuug3Byamue2s4b [81]
AlternateDataStreams: C:\Users\Клим\Downloads\паспорт 2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Клим\AppData\Roaming:d7e1cd49 [1230]
AlternateDataStreams: C:\Users\Клим\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Клим\AppData\Local\Temp:$DATA [16]
AlternateDataStreams: C:\Users\Клим\Documents\GTA San Andreas User Files:d7e1cd49 [1230]
EmptyTemp:
Reboot:
End::

После перезагрузки:

Добавьте новый файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите об оставшихся проблемах.

[S14Y3R]

Fixlog.txtWindows Defender до сих пор не даёт о себе знать, и проблема с активацией Windows никуда не делась, лишь исчезла надпись снизу справа

[safety]

26 минут назад, S14Y3R сказал:

Windows Defender до сих пор не даёт о себе знать, и проблема с активацией Windows никуда не делась, лишь исчезла надпись снизу справа

С этими проблемами пробуйте обратиться в Компьютерную помощь.

[S14Y3R]

Хорошо, спасибо!