lockbit v3 black Зашифровались файлы в конце расширение добавляется .iQwLRR0Oo

[Kyja]

Добрый день поймали шифровальщик, система была полностью переустановлена на другом харде
Все файлы в конце расширения добавляется .iQwLRR0Oo
Так же зашифрованы файлы с архивами при попытке извлечь из них получаю ошибку о поврежденном архиве
Во вложение файлы Addition.txt FRST.txt
файлы с требованием и пример архива зашифрованый
Подскажите пожалуйста возможно востановить?

Files_1.rar

[safety]

Правильно я вас понял, что логи FRST получены уже на переустановленной системе?

---------

Судя по записке и зашифрованному файлу файлы были зашифрованы LockbitV3Black

Проверьте, сохранилось ли в почте сообщение с вредоносным вложением?

Примерно такое:

Акт сверки взаиморасчетов по состоянию на 02.12.2024 года

Именно с такого вложения могла начаться атака с шифрованием, после его открытия из архива.

Изменено 30 декабря, 2024 пользователем safety

[Kyja]

Да логи с новой системы приложил потому что указано в инструкции что логи нужны и указать что система новая
Доступа ко всем папкам в почте сейчас нету но из такого что могу просмотреть именно архивов zip/rar во вложениях нет
Искать именно формат архива или это мог быть pdf ?
Есть доступ к самому диску как таковому но в последних скаченых не нашел ничего такого что могло бы запустить процесс
 

[safety]

Запуск мог быть из почтового вложения, поэтому лучше смотреть почту сотрудника, чье устройство было зашифровано.

Возможно, это был zip архив примерно с таким содержанием:

Изменено 30 декабря, 2024 пользователем safety

[Kyja]

Если я смогу найти этот фаил это даст шанс на то что можно будет расшифровать файлы?

[safety]

К сожалению, по данному типу шифровальщика расшифровка невозможна без приватного ключа.

[Kyja]

Подскажите пожалуйста что значит без приватного ключа? Как его получить?

[safety]

1 час назад, Kyja сказал:

Как его получить?

Можно так.

[Kyja]

То есть только выкуп платить других вариантов нет "реалистичных" я правильно понял?

[safety]

Рекомендуем принять меры безопасности, чтобы избежать новых атак с шифрованием.

 

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[Kyja]

Понял спасибо а есть смысл вернутся к вопросу условно через пару месяцев или нету?

[safety]

Важные зашифрованные фвйлы сохраните на отдельный носитель до лучших времен, а когда они наступят, никто не знает.

Если только room155 не устроит атракцион щедрости, и не опубликует приватные ключи для тех, кого они атаковали в течение двух лет.

Возможно около сотни целей наберется за этот период.

Изменено 31 декабря, 2024 пользователем safety