lockbit v3 black Поймали по почте шифровальщик-вымогатель

12 декабря, 2024

Добрый день!

Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
Ничего не переустанавливали и не трогали.
Все, что можно спасти, копируем.

Пострадал один ПК и один резервный сменный накопитель.
Шифровальщик затронул большинство файлов.
Предположительно получен по почте 02.12.24 под видом акта сверки расчетов

Прошу помощи в излечении и расшифровке

Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль

архив.zip virus.zip Addition.txt FRST.txt

12 декабря, 2024

По файлам:

0875262.tmp.vexe

https://www.virustotal.com/gui/file/58bdb5d9861757d39c74ed120258490c8b3c84b24a348d51f9b0acf8680f538f

Акт сверки взаиморасчетов по состоянию на 02.12.2024 года.vexe

https://www.virustotal.com/gui/file/3754ee76891dbac8e8d7507c61f5967fd036096482138d513788c34fb289b500

по логу FRST

Этот файл проверьте на Virustotal.com и дайте ссылку на результат проверки:

C:\Users\User\AppData\Local\service_updater.exe

12 декабря, 2024

По очистке системы в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-21-3897462618-2172501404-877883105-1000\...\Run: [Windows] => C:\Users\User\AppData\Local\Temp\0875262.tmp.exe [344280 2024-12-12] (GTR LLC -> Xps Push Layer Component) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3897462618-2172501404-877883105-1000\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pWX6JsNsd.README.txt [2024-12-12] () [Файл не подписан]
HKU\S-1-5-21-3897462618-2172501404-877883105-1000\...\Run: [SputnikUpdater.exe] => C:\Users\User\Downloads\Акт сверки взаиморасчетов по состоянию на 02.12.2024 года.exe [211792 2024-12-02] (Abaran -> AMR Narrowband Encoder DLL) [Файл не подписан]
HKU\S-1-5-21-3897462618-2172501404-877883105-1000\...\Run: [service_updater] => C:\Users\User\AppData\Local\service_updater.exe [426296 2024-12-03] (Baloon -> ) [Файл не подписан]
2024-12-12 12:53 - 2024-12-12 12:53 - 004147254 _____ C:\ProgramData\pWX6JsNsd.bmp
2024-12-12 12:46 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\AppData\LocalLow\pWX6JsNsd.README.txt
2024-12-12 12:46 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\AppData\Local\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\Downloads\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\Documents\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\Desktop\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\AppData\Roaming\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\AppData\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\Users\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\pWX6JsNsd.README.txt
2024-12-02 15:13 - 2024-12-02 15:13 - 000211792 _____ (AMR Narrowband Encoder DLL) C:\Users\User\Downloads\Акт сверки взаиморасчетов по состоянию на 02.12.2024 года.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Добавьте новые логи FRST для контроля.

13 декабря, 2024

Ссылка на проверку virustotal файла C:\Users\User\AppData\Local\service_updater.exe

https://www.virustotal.com/gui/file/5e6933bf5451314976415c4292fa52cc74331b7515a376d31f5301109f37bf3c

Ссылка на файл карантина

https://www.4shared.com/s/fuLD3KOsUge

Логи лечения и контроля после перезагрузки во вложении

Есть надежда на расшифровку файлов?

Addition.txt FRST.txt Fixlog.txt

13 декабря, 2024

17 минут назад, Алексей Андронов сказал:

Ссылка на файл карантина

Карантин можно перезаписать на Яндекс-диск?

13 декабря, 2024

14 минут назад, safety сказал:

Карантин можно перезаписать на Яндекс-диск?

https://disk.yandex.ru/d/Loky_J1kfK7utg

13 декабря, 2024

С расшифровкой, к сожалению, не сможем помочь по данному типу шифровальщика.

Для защиты от подобных атак необходимо через локальные политики запретить запуск исполняемых файлов из архивов.

14 декабря, 2024

Спасибо большое за помощь.

Пошёл переустанавливать систему

16 декабря, 2024

теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

lockbit v3 black Поймали по почте шифровальщик-вымогатель

Рекомендуемые сообщения

Алексей Андронов

safety

safety

Алексей Андронов

safety

Алексей Андронов

safety

Алексей Андронов

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum