lockbit v3 black Зашифрованы все файлы

[BeckOs]

На компьютере зашифрованы все файлы. Атака была ночью 

FRST.txt files.7z

[safety]

Задача с шифровальщиком распространяется из домена:

 

Task: {2967AA9E-7CB6-4154-8C9D-616F5A621645} - System32\Tasks\4 => C:\Windows\system32\cmd.exe [289792 2022-09-08] (Microsoft Windows -> Microsoft Corporation) -> /c \\***\netlogon\ds.exe

Этот файл

Цитата

\\***\netlogon\ds.exe

заархивируйте с паролем virus, загрузите архив в ваше сообщение.

+

проверьте нет ли вредоносного кода ds.exe в этих политиках:

Цитата

Task: {924679AF-D3DC-41EF-A453-DB013535BD45} - System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} => C:\Windows\system32\gpupdate.exe [30720 2022-09-08] (Microsoft Windows -> Microsoft Corporation)
Task: {1647CA4A-540A-4ACA-97CC-0CB250BA97E2} - System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} => C:\Windows\system32\gpupdate.exe [30720 2022-09-08] (Microsoft Windows -> Microsoft Corporation)

 

 

Изменено 11 февраля, 2025 пользователем safety

[BeckOs]

Здравствуйте. Я так понимаю, вирус на сервере. Доступа нет. В соседней теме скидывали этот вирус. Возьмите оттуда. 

 

Он был на компьютере в папке program data 

 

В политиках, которые вы прислали кода ds.exe нет

 

А что делать с этим? 

Задача с шифровальщиком распространяется из домена:

 

Task: {2967AA9E-7CB6-4154-8C9D-616F5A621645} - System32\Tasks\4 

[safety]

9 минут назад, BeckOs сказал:

В соседней теме скидывали этот вирус. Возьмите оттуда. 

Нет его там в логах. Можно удалить эту задачу. Сейчас напишу скрипт для FRST.

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу. Если не запросит перезагрузку системы, не  перезагружайте.

 

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {2967AA9E-7CB6-4154-8C9D-616F5A621645} - System32\Tasks\4 => C:\Windows\system32\cmd.exe [289792 2022-09-08] (Microsoft Windows -> Microsoft
2025-02-09 05:18 - 2025-02-09 05:18 - 000003524 _____ C:\Windows\system32\Tasks\4
2025-02-09 05:30 - 2025-02-09 05:30 - 000000972 _____ C:\Users\AriSPiHDt.README.txt
2025-02-09 05:30 - 2025-02-09 05:30 - 000000972 _____ C:\AriSPiHDt.README.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 11 февраля, 2025 пользователем safety

[BeckOs]

Файл вируса 

ds.7z

[safety]

Хорошо,

по расшифровке файлов после атаки LockbitV3Black, к сожалению, не сможем вам помочь, не имея приватного ключа.

Поскольку сэмпл шифровальщика содержит только публичный ключ, а приватный ключ и дешифратор остаются на стороне злоумышленников. На текущий момент восстановление данных возможно только из бэкапов.

Изменено 11 февраля, 2025 пользователем safety

[BeckOs]

Fixlog.txt

[safety]

Впечатление, будто некорректно выполнен скрипт.

Обратите внимание на порядок выполнения скрипта.

Важно выделить все строки скрипта: от первой до последней строки включительно.

Затем правой кнопкой мыши в контекстом меню выполнить действие "Копировать".

Теперь скрипт у увас уже в буфере обмена. Браузер закрыли, нажимаем в FRST нужную кнопку исправить.