lockbit v3 black Пойман Trojan.Encoder.31074 (Lockbit 3)

[Soft619]

Добрый день. На ПК, без установленного на момент шифрования антивируса, попал Trojan.Encoder.31074 (Lockbit 3). Все документы зашифрованы, в расширениях файлов содержится Hf7GtyFVI. Требования были размещены текстовым файлом во всех папках, где были документы. После обнаружения система сразу была просканирована через загрузочный диск Касперского, всё подозрительное удалено. Прошу помочь с расшифровкой. 

Files.zip

[safety]

Добавьте, пожалуйста, логи сканирования из KVRT

(из этой папки

2024-11-25 19:52 - 2024-11-25 19:52 - 000000000 ____D C:\KRD2018_Data

)

ВЫполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM-x32\...\Run: [] => [X]
S4 mrupdsrv; "C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe" --s [X] <==== ВНИМАНИЕ
S4 UbarPolicyProvider; C:\Program Files\UBar\UbarService.exe [X] <==== ВНИМАНИЕ
S1 vdm2odc0; \??\C:\Windows\system32\Drivers\vdm2odc0.sys [X]
2024-11-25 13:54 - 2024-11-25 13:37 - 000001934 _____ C:\Users\AVERT\AppData\Roaming\Hf7GtyFVI.README.txt
2024-11-25 13:54 - 2024-11-25 13:37 - 000001934 _____ C:\Users\AVERT\AppData\Hf7GtyFVI.README.txt
2024-11-25 13:27 - 2024-11-25 13:37 - 000001934 _____ C:\Users\AVERT\Documents\Hf7GtyFVI.README.txt
2024-11-25 13:27 - 2024-11-25 13:37 - 000001934 _____ C:\Users\AVERT\Desktop\Hf7GtyFVI.README.txt
2024-11-25 13:26 - 2024-11-25 13:37 - 000001934 _____ C:\Users\AVERT\Downloads\Hf7GtyFVI.README.txt
2024-11-25 13:21 - 2024-11-25 13:37 - 000001934 _____ C:\Users\Hf7GtyFVI.README.txt
2024-11-25 13:21 - 2024-11-25 13:37 - 000001934 _____ C:\Users\AVERT\Hf7GtyFVI.README.txt
2024-11-22 15:43 - 2024-11-25 13:37 - 000001934 _____ C:\Hf7GtyFVI.README.txt
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"ASEC\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EventFilter sethomePage2\":: <==== ВНИМАНИЕ
WMI:subscription\__TimerInstruction->SethomePage Interval Timer:: <==== ВНИМАНИЕ
WMI:subscription\__IntervalTimerInstruction->SethomePage Interval Timer:: <==== ВНИМАНИЕ
WMI:subscription\__EventFilter->EventFilter sethomePage2::[Query => Select * From __timerevent Where TimerId = "SethomePage Interval Timer"] <==== ВНИМАНИЕ
FirewallRules: [{352B5006-1BA5-4110-AEF1-B2FE17D9AB33}] => (Allow) C:\Program Files\UBar\ubar.exe => Нет файла
FirewallRules: [{3A2421A9-FE3F-42A6-87A4-3A7627BCB387}] => (Allow) C:\Users\AVERT\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{C7ADE1D3-54B4-4F76-856D-89015C559670}] => (Allow) C:\Users\AVERT\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{87C1A34B-96FE-4614-82BC-15916692B6FD}] => (Allow) C:\Users\AVERT\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{0DDF61E9-EC0B-46B1-B63C-B48CE5D56C4A}] => (Allow) C:\Users\AVERT\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{7073F88E-8988-4D98-BB27-5393D991B3FC}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{94A78E5F-3668-4AFA-B00A-A569093A70F0}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{AA6F48EC-C42D-4AF2-B101-FCD68FD9130F}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{EFD3DC1C-355C-4553-8FA8-5F61596E38D6}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
Reboot::
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

проверьте ЛС.