lockbit v3 black Шифровальщик вымогатель. Расширение .y8ItHTbGJ

[Always_Young]

Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip

[safety]

Отчет по сканированию из KVRT так же добавьте в архиве, без пароля.

Если сохранилось письмо, добавьте в формате EML в архиве, с паролем virus

Изменено 13 февраля пользователем safety

[Always_Young]

36 минут назад, safety сказал:

Отчет по сканированию из KVRT так же добавьте в архиве, без пароля.

Если сохранилось письмо, добавьте в формате EML в архиве, с паролем virus

 

Message17394359721385731838.zip Отчеты KRD и KVRT.zip

[safety]

Цитата

На ПК пришло письмо с файлом с раширением .cab.

1. блокируйте запуск исполняемых файлов из архивов через локальные политики.

2. информируйте сотрудников о подозрительных расширениях архивов из вложений, требуйте от поставщиков архивы только определенного формата. (rar, zip, 7z с какими удобнее работать)

 

Если файл проверяли на VT, то можно обратить внимание а это: что содержится внутри этого "архива".

 

RTF файл добавлен для отвлечения внимания.

 

 

Судя по отчету KVRT система очищена от активных тел шифровальщика.

 

Дополнительно выполнит очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-21-1936055778-3461548480-1539005704-1000\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\cafetaria2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\y8ItHTbGJ.README.txt [2025-02-12] () [Файл не подписан]
CHR HKLM\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca]
CHR HKLM-x32\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2025-02-12 05:04 - 2025-02-12 05:03 - 000001934 _____ C:\Users\y8ItHTbGJ.README.txt
2025-02-12 05:03 - 2025-02-12 05:03 - 000001934 _____ C:\y8ItHTbGJ.README.txt
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Изменено 13 февраля пользователем safety

[Always_Young]

Перезагрузка прошла без окна вымогателя. Загрузился быстрее. Есть ли возможность восстановить файлы?

Fixlog.txt

[safety]

Да, диспетчер процессов должен заработать,

 

по расшифровке файлов после атаки LockbitV3Black, к сожалению, не сможем вам помочь, не имея приватного ключа.

Поскольку сэмпл шифровальщика содержит только публичный ключ, а приватный ключ и дешифратор остаются на стороне злоумышленников. На текущий момент восстановление данных возможно только из бэкапов.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Обратите внимание на статистику обращений по данному шифровальщику по данной конкретной группе room155. Рассылки подобных писем проводится регулярно, 1-2 раза в месяц. Там что может оказаться, что атака повторится, если не принимать никаких мер.

 

Изменено 14 февраля пользователем safety