lockbit v3 black вирус-шифровальщик LockBit Black

[Radik_Gilmanov]

все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 

А.Даутов.rar FRST_17-10-2024 23.55.28.txt

 

Изменено 17 октября пользователем Radik_Gilmanov

[safety]

Это ваша тема была в начале октября?

------------

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

2024-09-18 15:42 - 2024-09-19 12:42 - 001836408 _____ (FM IFS Utility DLL) C:\Users\Дилара\Documents\updater.exe

+

добавьте образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 18 октября пользователем safety

[Radik_Gilmanov]

ДИЛАРА-ПК_2024-10-18_19-27-59_v4.99.2v x64.7z

[safety]

По очистке системы в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
2024-09-18 15:42 - 2024-09-19 12:42 - 001836408 _____ (FM IFS Utility DLL) C:\Users\Дилара\Documents\updater.exe
2024-10-16 12:38 - 2024-10-16 12:41 - 000001852 _____ () C:\Users\Дилара\AppData\Roaming\wbmVRwkmD.README.txt
2019-12-27 22:59 - 2020-01-15 00:17 - 000001206 _____ () C:\ProgramData\AV.js
2024-10-16 12:38 - 2024-10-16 12:41 - 000001852 _____ C:\Users\Дилара\AppData\wbmVRwkmD.README.txt
2024-10-16 12:38 - 2024-10-16 12:41 - 000001852 _____ C:\Users\Дилара\AppData\Roaming\wbmVRwkmD.README.txt
2024-10-16 12:38 - 2024-10-16 12:41 - 000001852 _____ C:\Users\Дилара\AppData\LocalLow\wbmVRwkmD.README.txt
2024-10-16 12:38 - 2024-10-16 12:41 - 000001852 _____ C:\Users\Дилара\AppData\Local\wbmVRwkmD.README.txt
2024-10-16 12:37 - 2024-10-16 12:41 - 000001852 _____ C:\wbmVRwkmD.README.txt
2024-10-16 12:37 - 2024-10-16 12:41 - 000001852 _____ C:\Users\Дилара\wbmVRwkmD.README.txt
2024-10-16 12:37 - 2024-10-16 12:41 - 000001852 _____ C:\Users\Дилара\Downloads\wbmVRwkmD.README.txt
2024-10-16 12:37 - 2024-10-16 12:41 - 000001852 _____ C:\Users\Дилара\Documents\wbmVRwkmD.README.txt
2024-10-16 12:37 - 2024-10-16 12:41 - 000001852 _____ C:\Users\Дилара\Desktop\wbmVRwkmD.README.txt
2024-10-16 12:37 - 2024-10-16 12:41 - 000001852 _____ C:\Users\wbmVRwkmD.README.txt
S3 cpuz154; \??\C:\Windows\temp\cpuz154\cpuz154_x64.sys [X] <==== ВНИМАНИЕ
[2023-01-02] [UpdateUrl:hxxp://download.sf-helper.com/chrome/updates-3.xml] <==== ВНИМАНИЕ
[2023-10-23] [UpdateUrl:hxxps://browser-api.store.yandex.net/crx/v1/update] <==== ВНИМАНИЕ
YAN Extension: (SaveFrom.net помощник) - C:\Users\Дилара\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\mdpljndcmbeikfnlflcggaipgnhiedbl
CHR HKLM-x32\...\Chrome\Extension: [lgbjhdkjmpgjgcbcdlhkokkckpjmedgc]
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan]
CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Изменено 19 октября пользователем safety

[Radik_Gilmanov]

Fixlog.txt

[safety]

Очистка прошла успешно.

С расшифровкой  по данному типу шифровальщика, к сожалению, не сможем помочь, не имя приватного ключа.

 

Сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

9. запретить через политики запуск исполняемых файлов из архивов.