lockbit v3 black скачал и открыл файл, зашифровались данные

31 января

Добрый день, нужна помощь в расшифровке ,прислали счет на оплату, я даже не понял от кого и естественно открыл,после чего зашифровалось все что было на компе,а на экране вылетело сообщение об оплате,откатывал систему не помогло,сбил виндовс и дальше продолжил работу,однако хотелось бы востановить клиентскую базу)вложу архив с запиской вымогателя,так же могу прикрепиShortcut.txt FRST.txt Addition.txtть почту с которой мне писали.. не понял только как выполнить это действие??вложите в сообщение логи, собранные Farbar Recovery Scan Tool,

максим.rar

31 января

Вижу что систему сканировали с помощью ДрВеб

2024-10-07 12:29 - 2024-10-07 14:11 - 000000000 __SHD C:\DrWeb Quarantine
2024-10-07 12:28 - 2024-10-07 12:30 - 000000000 ____D C:\Users\пк\Doctor Web

Можете предоставить логи сканирования? в архиве, без пароля.

Скрипт очистки для FRST чуть позже добавлю.

-------------

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(explorer.exe ->) (Beijing Qihu Technology Co., Ltd. -> COM+) [Файл не подписан] C:\Users\пк\AppData\Local\Temp\Rar$EX01.014\Счет на оплату №211 от 1 oктября 2024 года.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-107884332-743715021-2423481097-1000\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Нет файла)
HKU\S-1-5-21-107884332-743715021-2423481097-1000\...\Run: [SputnikUpdater.exe] => C:\Users\пк\AppData\Local\Temp\Rar$EX01.014\Счет на оплату №211 от 1 oктября 2024 года.exe [1802832 2024-10-01] (Beijing Qihu Technology Co., Ltd. -> COM+) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\пк\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0vZ0LBOq2.README.txt [2024-10-07] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 WinRing0_1_2_0; \??\C:\Users\пк\AppData\Local\Temp\tmp979D.tmp [X] <==== ВНИМАНИЕ
2024-10-07 11:07 - 2024-10-07 11:07 - 002592054 _____ C:\ProgramData\0vZ0LBOq2.bmp
2024-10-07 10:54 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\LocalLow\0vZ0LBOq2.README.txt
2024-10-07 10:54 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\Local\0vZ0LBOq2.README.txt
2024-10-07 10:48 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\Roaming\0vZ0LBOq2.README.txt
2024-10-07 10:48 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\0vZ0LBOq2.README.txt
2024-10-07 10:46 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\Documents\0vZ0LBOq2.README.txt
2024-10-07 10:44 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\Downloads\0vZ0LBOq2.README.txt
2024-10-07 10:44 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\0vZ0LBOq2.README.txt
2024-10-07 10:43 - 2024-10-07 10:43 - 000001852 _____ C:\Users\0vZ0LBOq2.README.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 31 января пользователем safety

31 января

добрый день, скорее всего нет((так как у меня доктор вэб был установлен в момент поражения либо после,,,но из за того что вылетало окно с оплатой мне пришлось сбить виндовс ,и установить все заново ,уцелел только диск D на котором вся нужная мне информация

31 января

т.е. логи FRST вы сделали до переустановки системы? правильно я понял? судя по датам - шифрование было еще в октябре 2024 года.

Изменено 31 января пользователем safety

31 января

да пытался сам исправить))

31 января

Долго же вы пытались :).

Это LockbitV3Black, к сожалению по данному типу шифровальщика расшифровка невозможна без приватного ключа.

31 января

в общем про эти файлы можно забыть?

31 января

Можно отложить в архив важные зашифрованные документы, возможно когда-нибудь room155, в качестве жеста доброй воли, выложат приватные ключи для всех своих жертв, которых уже сотня наберется за два года их активности.

Изменено 31 января пользователем safety

lockbit v3 black скачал и открыл файл, зашифровались данные

Рекомендуемые сообщения

Сергей рнд

safety

Сергей рнд

safety

Сергей рнд

safety

Сергей рнд

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum