lockbit v3 black Зашифровало нужные файлы.

30 сентября, 2024

собственно зашифровало нужные файлы. Прошу помощи.

Addition.txt FRST.txt бухгал. письма на передвижку.docx.rar

1 октября, 2024

По очистке системы в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

Start::
HKU\S-1-5-21-687615590-526448768-3763864210-1000\...\Run: [5572.tmp] => C:\Users\ДОУ 163\AppData\Roaming\5572.tmp.exe [190040 2023-12-21] (Nevada -> Microsoft ® JScript Diagnostics) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-687615590-526448768-3763864210-1000\...\Run: [944755.tmp] => C:\Users\ДОУ 163\AppData\Roaming\944755.tmp.exe [260720 2023-12-25] (Cleveland -> Windows Runtime MIDI Device server DLL) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-687615590-526448768-3763864210-1000\...\Run: [Windows] => C:\Users\ДОУ 163\AppData\Local\Temp\556.tmp.exe [374136 2024-01-11] (Dakota LLC -> ODBC Installer) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-687615590-526448768-3763864210-1000\...\Run: [2488563.tmp] => C:\Users\ДОУ 163\AppData\Roaming\2488563.tmp.exe [260720 2024-02-05] (Cleveland -> Windows Runtime MIDI Device server DLL) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-687615590-526448768-3763864210-1000\...\Run: [SputnikUpdater] => C:\ProgramData\SputnikUpdater.exe [169448 2024-05-06] (Man -> Network Store Information RPC interface) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-687615590-526448768-3763864210-1000\...\Run: [oazgxw] => C:\Users\ДОУ 163\AppData\Roaming\oazgxw.exe (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-687615590-526448768-3763864210-1000\...\Run: [sputnik_updater] => C:\Users\ДОУ 163\AppData\Roaming\sputnik_updater.exe [207224 2024-07-31] (ESET, spol. s r.o. -> Don HO don.h@free.fr) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-18\...\Run: [] => [X]
Startup: C:\Users\ДОУ 163\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updater.lnk [2024-09-30]
ShortcutTarget: updater.lnk -> C:\Users\ДОУ 163\AppData\Roaming\updater.exe (Cleveland -> CPL системы) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {D6145342-E1B8-4394-AF60-59C50392DD21} - System32\Tasks\Browserupdphenix => C:\Users\ДОУ 163\AppData\Local\Browserupdphenix\Browserupdphenix.exe [922112 2019-12-18] () [Файл не подписан] -> %LOCALAPPDATA%\Browserupdphenix\--s=E9CAFEF761B4F0AA25735299E5E07E70FD0951A822E54A93C8707D02A048E3D9E9AD8E48794A491BE917F8FC41 --id=1 --sub-id=558 <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-687615590-526448768-3763864210-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
2024-09-18 13:44 - 2024-09-18 13:19 - 000001852 _____ C:\Users\gsjfwaJ\qNluQAAAi.README.txt
2024-09-18 13:44 - 2024-09-18 13:19 - 000001852 _____ C:\Users\gsjfwaJ\Downloads\qNluQAAAi.README.txt
2024-09-18 13:44 - 2024-09-18 13:19 - 000001852 _____ C:\Users\gsjfwaJ\Documents\qNluQAAAi.README.txt
2024-09-18 13:44 - 2024-09-18 13:19 - 000001852 _____ C:\Users\gsjfwaJ\Desktop\qNluQAAAi.README.txt
2024-09-18 13:44 - 2024-09-18 13:19 - 000001852 _____ C:\Users\gsjfwaJ\AppData\Roaming\qNluQAAAi.README.txt
2024-09-18 13:44 - 2024-09-18 13:19 - 000001852 _____ C:\Users\gsjfwaJ\AppData\qNluQAAAi.README.txt
2024-09-18 13:44 - 2024-09-18 13:19 - 000001852 _____ C:\Users\gsjfwaJ\AppData\LocalLow\qNluQAAAi.README.txt
2024-09-18 13:44 - 2024-09-18 13:19 - 000001852 _____ C:\Users\gsjfwaJ\AppData\Local\qNluQAAAi.README.txt
2024-09-18 13:36 - 2024-09-18 13:19 - 000001852 _____ C:\Users\ДОУ 163\AppData\LocalLow\qNluQAAAi.README.txt
2024-09-18 13:36 - 2024-09-18 13:19 - 000001852 _____ C:\Users\ДОУ 163\AppData\Local\qNluQAAAi.README.txt
2024-09-18 13:31 - 2024-09-18 13:19 - 000001852 _____ C:\Users\ДОУ 163\AppData\Roaming\qNluQAAAi.README.txt
2024-09-18 13:31 - 2024-09-18 13:19 - 000001852 _____ C:\Users\ДОУ 163\AppData\qNluQAAAi.README.txt
2024-09-18 13:19 - 2024-09-18 13:19 - 000001852 _____ C:\Users\ДОУ 163\qNluQAAAi.README.txt
2024-09-18 13:19 - 2024-09-18 13:19 - 000001852 _____ C:\Users\ДОУ 163\Downloads\qNluQAAAi.README.txt
2024-09-18 13:19 - 2024-09-18 13:19 - 000001852 _____ C:\Users\ДОУ 163\Documents\qNluQAAAi.README.txt
2024-09-18 13:19 - 2024-09-18 13:19 - 000001852 _____ C:\Users\ДОУ 163\Desktop\qNluQAAAi.README.txt
2024-09-18 13:19 - 2024-09-18 13:19 - 000001852 _____ C:\Users\qNluQAAAi.README.txt
2024-09-18 13:19 - 2024-09-18 13:19 - 000001852 _____ C:\qNluQAAAi.README.txt
2024-05-06 12:00 - 2024-05-06 12:00 - 000169448 _____ (Network Store Information RPC interface) C:\ProgramData\SputnikUpdater.exe
2024-02-05 15:55 - 2024-02-05 15:55 - 000260720 _____ (Windows Runtime MIDI Device server DLL) C:\Users\ДОУ 163\AppData\Roaming\2488563.tmp.exe
2023-12-21 12:52 - 2023-12-21 12:52 - 000190040 _____ (Microsoft ® JScript Diagnostics) C:\Users\ДОУ 163\AppData\Roaming\5572.tmp.exe
2023-12-25 13:35 - 2023-12-25 13:35 - 000260720 _____ (Windows Runtime MIDI Device server DLL) C:\Users\ДОУ 163\AppData\Roaming\944755.tmp.exe
2024-09-18 13:31 - 2024-09-18 13:19 - 000001852 _____ () C:\Users\ДОУ 163\AppData\Roaming\qNluQAAAi.README.txt
2024-07-31 08:44 - 2024-07-31 08:44 - 000207224 _____ (Don HO don.h@free.fr) C:\Users\ДОУ 163\AppData\Roaming\sputnik_updater.exe
2023-12-21 12:52 - 2023-12-25 13:35 - 000241768 _____ (CPL системы) C:\Users\ДОУ 163\AppData\Roaming\updater.exe
2024-09-18 13:36 - 2024-09-18 13:19 - 000001852 _____ () C:\Users\ДОУ 163\AppData\Local\qNluQAAAi.README.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание в личные сообщения (ЛС).

1 октября, 2024

Fixlog.txt

Изменено 1 октября, 2024 пользователем Muhamor

1 октября, 2024

по файлам:

C:\ProgramData\SputnikUpdater.exe

https://www.virustotal.com/gui/file/4f13775086f8150ee957bc1a0aa640e33dbebaa9b32c075faa5b9e832bec8a9f?nocache=1

5572.tmp.exe

https://www.virustotal.com/gui/file/9a4a9c7cae60f9e86f9cd93f950ea71ebfc5552e7a40018b156890113415e076

944755.tmp.exe

https://www.virustotal.com/gui/file/324986febf9846f4287d1e77d9310064a9ae6ef80a67836c04118b9e2891041b

2488563.tmp.exe

https://www.virustotal.com/gui/file/324986febf9846f4287d1e77d9310064a9ae6ef80a67836c04118b9e2891041b

sputnik_updater.exe

https://www.virustotal.com/gui/file/9905eb3f141031643936add68fbf3e2f49562fcfb6d3271659c70984cdfa17c7?nocache=1

updater.exe

https://www.virustotal.com/gui/file/6115e9a01a23c503a1f0f0ce3e9b162468175d9e9e2ae1524b259f3481bb18a1

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

Обратите внимание, что room155 делает рассылку для бухгалтеров, финансистов с вложением архива, содержащего вредоносное приложение.

Заблокируйте через локальные политики у сотрудников возможность запускать исполняемые файлы из архивов.

Изменено 2 октября, 2024 пользователем safety

lockbit v3 black Зашифровало нужные файлы.

Рекомендуемые сообщения

Muhamor

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Muhamor

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum