lockbit v3 black расшифровка файлов

[Leo_Pahomov]

Все файлы зашифрованы типом файла YAKRDXSNS

DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z

Сообщение от модератора thyrex

Темы объединены

[safety]

Добавьте лог сканирования Курейтом, лучше в архиве без пароля.

Добавьте несколько зашифрованных файлов+ записку о выкупке+ логи FRST

«Порядок оформления запроса о помощи».

[Leo_Pahomov]

Пытаюсь расшифровать файлы, оставили комп включенным на выходных, после произошло шифрование, как и что не понятно. Прогонял cureit, нашел много вирусов, но к сожалению не сохранил данные о проверке, не думал что пригодятся, так как впервые столкнулся с подобным. Все остальное подготовил) 

123.zip Addition.txt FRST.txt

[safety]

В этих файлах что у вас?

 

Цитата

2024-09-16 14:23 - 2024-09-16 14:23 - 000000000 ____H () C:\Users\user4\AppData\Roaming\338d8dd8.txt
2024-11-23 19:16 - 2024-11-23 19:16 - 000000000 ____H () C:\Users\user4\AppData\Roaming\5244r2e2e223.txt
2024-12-20 02:36 - 2024-12-20 02:36 - 000000000 ____H () C:\Users\user4\AppData\Roaming\556856886565862.txt
2024-10-15 09:06 - 2024-10-15 09:06 - 000000000 ____H () C:\Users\user4\AppData\Roaming\88s8gfhsx.txt
2025-02-13 05:31 - 2025-02-13 05:31 - 000000000 ____H () C:\Users\user4\AppData\Roaming\hf8g78d9d97g639.txt
2024-11-25 11:42 - 2024-11-25 11:42 - 000000000 ____H () C:\Users\user4\AppData\Roaming\lllll97786.txt
2024-10-10 10:55 - 2024-10-10 10:55 - 000000000 ____H () C:\Users\user4\AppData\Roaming\lp886rerw.txt
2024-11-29 13:13 - 2024-11-29 13:13 - 000000000 ____H () C:\Users\user4\AppData\Roaming\rrrr4t4.txt
2024-11-12 01:53 - 2024-11-12 01:53 - 000000000 ____H () C:\Users\user4\AppData\Roaming\Tbaby.txt
2024-09-16 14:23 - 2024-09-16 14:23 - 000000000 ____H () C:\Users\user4\AppData\Roaming\windrx.txt

 

[safety]

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.9v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\USER4\WINSVCS\WINCXSRVN.EXE
delall %SystemDrive%\USERS\USER4\WINMNGR\WINMNGRSA.EXE
delall %SystemDrive%\USERS\USER4\WINDRV\WINRDRVMS.EXE
delall %SystemDrive%\USERS\USER4\WINDOWS SERVICES\WINSVCMS.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\21.3.3.234\SERVICE_UPDATE.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/KASPERSKY-PROTECTION/AHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHKECABALOGHLEAICFHEFEJDIJBLLJPCO%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\PUB\ITOPBFP23.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\PUB\ITOPSUMMERP24.EXE
delall %SystemDrive%\PROGRAM FILES\ITOP SCREEN RECORDER\PUB\ITOPVSALEP25.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\PUB\ITOPXMSP23.EXE
delall %SystemDrive%\USERS\USER4\MICROSOFT WINDOWS SECURITY\WINUPSECVMGR.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref {609ED1DF-1540-4F2E-BAAC-C2C9CDB64C00}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\110.0.5481.100\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\110.0.5481.100\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\110.0.5481.100\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.85\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\111.0.1661.62\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.78\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.78\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.51\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

[Leo_Pahomov]

куда добавить файл?

 

2025-02-22_17-11-01_log.txt

[safety]

сюда же, через вложение, как и предыдущие файлы

Изменено 22 февраля, 2025 пользователем safety

[Leo_Pahomov]

4 минуты назад, safety сказал:

ок, теперь попробуйте его найти, и подумайте, что сделали не так.

 

2025-02-22_17-11-01_log.zip

[safety]

да, нашел уже лог.

 

На Cyberforum ваша тема? остались неясности после ответов там?

Изменено 22 февраля, 2025 пользователем safety

[Leo_Pahomov]

нет, я там ничего не писал, только сюда пока что 

 

4 минуты назад, safety сказал:

На Cyberforum ваша тема? остались неясности после ответов там?

расшифровки нет? 

[safety]

Но расширение файлов одно и тоже.

А это большая редкость.

Цитата

там ничего не писал, только сюда пока что

Долго вы собирались, уже 4 дня прошло после шифрования.

 

Судя по логам FRST шифрование было только в одной папке.

C:\Users\user4\AppData\Roaming\YAkRDXSns.README.txt

это значит, что данная папка предоставлена всем в общий доступ. Сам процесс шифрования был запущен на другом устройстве. Значит пострадали еще и другие устройства.

----------

Расшифровки нет по данному типу шифровальщика. Без приватного ключа расшифровать файлы после LockbitV3Black невозможно.

Изменено 22 февраля, 2025 пользователем safety

[Leo_Pahomov]

проблема только на данном пк, больше недели уже прошло, больше не от кого жалоб не поступало

 

 

Изменено 22 февраля, 2025 пользователем safety

[safety]

посмотрел логи FRST на CF:

там так же зашифрована только папка пользователя. Значит надо искать на каком из устройств был запуск шифровальщика.

(там будет все папки зашифрованы).

2025-02-18 10:28 - 2025-02-18 10:28 - 000000326 _____ C:\Users\A0905\Downloads\YAkRDXSns.README.txt
2025-02-18 10:28 - 2025-02-18 10:28 - 000000326 _____ C:\Users\A0905\Desktop\YAkRDXSns.README.txt

--------------

@Leo_Pahomov.

не надо здесь устраивать дискуссию на ровном месте.

Вам на Киберфоруме объяснили, и здесь я повторяю, ищите источник заражения в локальной сети. Это ваша работа. Все ПК проверить. Сэмпл шифровальщика возможно уже самоудалился.

 

Важные зашифрованные данные можно сохранить на отдельный носитель, вдруг, когда-нибудь, может быть, что то произойдет.

 

теперь, когда ваши файлыбыли зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 22 февраля, 2025 пользователем safety