lockbit v3 black Вирус шифровальщик, можно ли восстановить файлы?

[CreativeArch]

Log.7z

[safety]

обои есть на рабочем столе от шифровальщика?

 

Добавьте так же логи сканирования Cureit в архиве, без пароля.

Если найдена записка о выкупе, добавьте файл записки.

 

Возможно что шифрование было на другом устройстве, и текущее устройство затронуто шифрованием только через расшаренные каталоги.

[CreativeArch]

Cureit`ом до меня кто то из пользователей нашел 2 файла вылечили их удалением, сейчас поищу фото он делал.

cureit.7z cureit.7z

фото сканирование курейтом

каких то требований нет, обои стандартные не изменились 

[safety]

Можете эти файлы извлечь из карантина, и добавить в архив с паролем virus?

 

C:\kgm.exe - infected with Trojan.Encoder.31074
C:\kgm.exe - infected - 3ms, 148480 bytes

C:\Users\Администратор\Documents\kgm.exe - infected with Trojan.Encoder.31074
C:\Users\Администратор\Documents\kgm.exe - infected - 9ms, 148480 bytes

 

[CreativeArch]

Брандмауэр не работает, через командную строку тоже не получается (

Изменено 25 февраля пользователем CreativeArch

[safety]

2 минуты назад, CreativeArch сказал:

Брандмауэр не работает, через командную строку тоже не получается (

как  это связано с моими  вопросами:

1. обои есть на рабочем столе от шифровальщика?

2. Можете эти файлы извлечь из карантина, и добавить в архив с паролем virus?

[CreativeArch]

я писал вроде что обои стандартные остались
из карантина не могу достать( 

-------

В карантине нет пользователь до меня их просто удалил
Курейт предложил их вылечить удалением он так и сделал

Изменено 25 февраля пользователем safety

[safety]

Судя по ранним уже темам:

Trojan.Encoder.31074 это LockbitV3Black

Надо искать на других устройствах, где был запуск, и где есть заставка на экране от Lockvit v3. С этого устройства и нужны будут логи и записка о выкупе. Скорее всего это будет ПК бухгалтеров.

Сэмпл мог залететь через почтовое сообщение с вложением.

Изменено 25 февраля пользователем safety

[CreativeArch]

принесла его сторонняя контора которая с 1ской помогает бухгалтерам (предполагаю) так как все произошло в воскресенье ночью, но они пока молчат 

в офисе больше никаких компов с такими файлами и заставками не обнаружил (
 

[safety]

Проверять надо ПК бухгалтера, скорее всего этот вариант LockbitV3Black от группы room155. Они рассылают бэкдор, (через который затем загружается шифровальщик), через электронную почту.

Не факт что эти логи  курейт получены именно с этой машины, т.е. той что в логах FRST.

------

Если это Lockbit 3, то его не расшифровать без приватного ключа.

Изменено 25 февраля пользователем safety

[CreativeArch]

Буду искать конец, отпишусь, спасибо за помощь 

[CreativeArch]

Добрый день, восстановил файлы из карантина Cureit 

CureIt Quarantine.7z

[safety]

1 час назад, CreativeArch сказал:

восстановил файлы из карантина Cureit 

Файл из карантина раскодировался нормально

https://virusscan.jotti.org/ru-RU/filescanjob/84l4czs9bl

Надо еще проверить в песочнице как он шифрует

Изменено 26 февраля пользователем safety

[CreativeArch]

То есть есть возможность восстановить файлы? 

[safety]

да, файлысэмплы шифровальщика можно восстановить из карантина с помощью программы-декодера.

Что еще:

Восстановленный сэмпл шифрует именно с этим расширением J0xb5NY5W и без записки о выкупе.

https://www.virustotal.com/gui/file/380ffc4cf15d6052e59942f1725b29a46e3bb8d69f82d31d195fee5302221d8e

Похоже что шифрование могло быть на этом ПК. И это точно Lockbit v3. (но не от room155) Получилось извлечь конфиг из файла-шифровальщика, и здесь мы видим, что в настройках config.json нет текста записки о выкупе, .т.е. пусто, а значит в этом случае,  записка не формируется. И отключена настройка выводить обои на рабочем столе.

Если они не оставили записку о выкупе, значит, цель шифрования могла быть другой (не выкуп, а уничтожение данных, т.е. вайпинг), просто зашифровать данные без возможности восстановления.

 

Изменено 26 февраля пользователем safety