lockbit v3 black скачал и открыл файл, зашифровались данные

[Сергей рнд]

Добрый день, нужна помощь в расшифровке ,прислали счет на оплату, я даже не понял от кого и естественно открыл,после чего зашифровалось все что было на компе,а на экране вылетело сообщение об оплате,откатывал систему не помогло,сбил виндовс и дальше продолжил работу,однако хотелось бы востановить клиентскую базу)вложу архив с запиской вымогателя,так же могу прикрепиShortcut.txtFRST.txtAddition.txtть почту с которой мне писали.. не понял только как выполнить это действие??вложите в сообщение логи, собранные Farbar Recovery Scan Tool,

максим.rar

[safety]

Вижу что систему сканировали с помощью ДрВеб

2024-10-07 12:29 - 2024-10-07 14:11 - 000000000 __SHD C:\DrWeb Quarantine
2024-10-07 12:28 - 2024-10-07 12:30 - 000000000 ____D C:\Users\пк\Doctor Web

Можете предоставить логи сканирования? в архиве, без пароля.

Скрипт очистки для FRST чуть позже добавлю.

-------------

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(explorer.exe ->) (Beijing Qihu Technology Co., Ltd. -> COM+) [Файл не подписан] C:\Users\пк\AppData\Local\Temp\Rar$EX01.014\Счет на оплату №211 от 1 oктября 2024 года.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-107884332-743715021-2423481097-1000\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Нет файла)
HKU\S-1-5-21-107884332-743715021-2423481097-1000\...\Run: [SputnikUpdater.exe] => C:\Users\пк\AppData\Local\Temp\Rar$EX01.014\Счет на оплату №211 от 1 oктября 2024 года.exe [1802832 2024-10-01] (Beijing Qihu Technology Co., Ltd. -> COM+) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\пк\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0vZ0LBOq2.README.txt [2024-10-07] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 WinRing0_1_2_0; \??\C:\Users\пк\AppData\Local\Temp\tmp979D.tmp [X] <==== ВНИМАНИЕ
2024-10-07 11:07 - 2024-10-07 11:07 - 002592054 _____ C:\ProgramData\0vZ0LBOq2.bmp
2024-10-07 10:54 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\LocalLow\0vZ0LBOq2.README.txt
2024-10-07 10:54 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\Local\0vZ0LBOq2.README.txt
2024-10-07 10:48 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\Roaming\0vZ0LBOq2.README.txt
2024-10-07 10:48 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\0vZ0LBOq2.README.txt
2024-10-07 10:46 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\Documents\0vZ0LBOq2.README.txt
2024-10-07 10:44 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\Downloads\0vZ0LBOq2.README.txt
2024-10-07 10:44 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\0vZ0LBOq2.README.txt
2024-10-07 10:43 - 2024-10-07 10:43 - 000001852 _____ C:\Users\0vZ0LBOq2.README.txt
Reboot::
End::

 

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 31 января пользователем safety

[Сергей рнд]

добрый день, скорее всего нет((так как у меня доктор вэб был установлен в момент поражения либо после,,,но из за того что вылетало окно с оплатой мне пришлось сбить виндовс ,и установить все заново ,уцелел только диск D на котором вся нужная мне информация

[safety]

т.е. логи FRST вы сделали до переустановки системы? правильно я понял? судя по датам - шифрование было еще в октябре 2024 года.

Изменено 31 января пользователем safety

[Сергей рнд]

да пытался сам исправить))

[safety]

Долго же вы пытались :).

Это LockbitV3Black, к сожалению по данному типу шифровальщика расшифровка невозможна без приватного ключа.

[Сергей рнд]

в общем про эти файлы можно забыть?

[safety]

Можно отложить в архив важные зашифрованные документы, возможно когда-нибудь room155,  в качестве жеста доброй воли, выложат приватные ключи для всех своих жертв, которых уже сотня наберется за два года их активности.

Изменено 31 января пользователем safety