lockbit v3 black Зашифрованы все файлы

11 февраля

На компьютере зашифрованы все файлы. Атака была ночью

11 февраля

Задача с шифровальщиком распространяется из домена:

Task: {2967AA9E-7CB6-4154-8C9D-616F5A621645} - System32\Tasks\4 => C:\Windows\system32\cmd.exe [289792 2022-09-08] (Microsoft Windows -> Microsoft Corporation) -> /c \\***\netlogon\ds.exe

Этот файл

Цитата

\\***\netlogon\ds.exe

заархивируйте с паролем virus, загрузите архив в ваше сообщение.

+

проверьте нет ли вредоносного кода ds.exe в этих политиках:

Цитата

Task: {924679AF-D3DC-41EF-A453-DB013535BD45} - System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} => C:\Windows\system32\gpupdate.exe [30720 2022-09-08] (Microsoft Windows -> Microsoft Corporation)
Task: {1647CA4A-540A-4ACA-97CC-0CB250BA97E2} - System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} => C:\Windows\system32\gpupdate.exe [30720 2022-09-08] (Microsoft Windows -> Microsoft Corporation)

Изменено 11 февраля пользователем safety

11 февраля

Здравствуйте. Я так понимаю, вирус на сервере. Доступа нет. В соседней теме скидывали этот вирус. Возьмите оттуда.

Он был на компьютере в папке program data

В политиках, которые вы прислали кода ds.exe нет

А что делать с этим?

Задача с шифровальщиком распространяется из домена:

Task: {2967AA9E-7CB6-4154-8C9D-616F5A621645} - System32\Tasks\4

11 февраля

9 минут назад, BeckOs сказал:

В соседней теме скидывали этот вирус. Возьмите оттуда.

Нет его там в логах. Можно удалить эту задачу. Сейчас напишу скрипт для FRST.

11 февраля

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу. Если не запросит перезагрузку системы, не перезагружайте.

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {2967AA9E-7CB6-4154-8C9D-616F5A621645} - System32\Tasks\4 => C:\Windows\system32\cmd.exe [289792 2022-09-08] (Microsoft Windows -> Microsoft
2025-02-09 05:18 - 2025-02-09 05:18 - 000003524 _____ C:\Windows\system32\Tasks\4
2025-02-09 05:30 - 2025-02-09 05:30 - 000000972 _____ C:\Users\AriSPiHDt.README.txt
2025-02-09 05:30 - 2025-02-09 05:30 - 000000972 _____ C:\AriSPiHDt.README.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 11 февраля пользователем safety

11 февраля

Файл вируса

ds.7z

11 февраля

Хорошо,

по расшифровке файлов после атаки LockbitV3Black, к сожалению, не сможем вам помочь, не имея приватного ключа.

Поскольку сэмпл шифровальщика содержит только публичный ключ, а приватный ключ и дешифратор остаются на стороне злоумышленников. На текущий момент восстановление данных возможно только из бэкапов.

Изменено 11 февраля пользователем safety

11 февраля

Fixlog.txt

11 февраля

Впечатление, будто некорректно выполнен скрипт.

Обратите внимание на порядок выполнения скрипта.

Важно выделить все строки скрипта: от первой до последней строки включительно.

Затем правой кнопкой мыши в контекстом меню выполнить действие "Копировать".

Теперь скрипт у увас уже в буфере обмена. Браузер закрыли, нажимаем в FRST нужную кнопку исправить.

lockbit v3 black Зашифрованы все файлы

Рекомендуемые сообщения

BeckOs

safety

BeckOs

safety

safety

BeckOs

safety

BeckOs

safety

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum