lockbit v3 black Вирус шифровальщик, можно ли восстановить файлы?

3 часа назад

3 часа назад

обои есть на рабочем столе от шифровальщика?

Добавьте так же логи сканирования Cureit в архиве, без пароля.

Если найдена записка о выкупе, добавьте файл записки.

Возможно что шифрование было на другом устройстве, и текущее устройство затронуто шифрованием только через расшаренные каталоги.

3 часа назад

Cureit`ом до меня кто то из пользователей нашел 2 файла вылечили их удалением, сейчас поищу фото он делал.

cureit.7z cureit.7z

фото сканирование курейтом

каких то требований нет, обои стандартные не изменились

3 часа назад

Можете эти файлы извлечь из карантина, и добавить в архив с паролем virus?

C:\kgm.exe - infected with Trojan.Encoder.31074
C:\kgm.exe - infected - 3ms, 148480 bytes

C:\Users\Администратор\Documents\kgm.exe - infected with Trojan.Encoder.31074
C:\Users\Администратор\Documents\kgm.exe - infected - 9ms, 148480 bytes

3 часа назад

Брандмауэр не работает, через командную строку тоже не получается (

Изменено 3 часа назад пользователем CreativeArch

2 часа назад

2 минуты назад, CreativeArch сказал:

Брандмауэр не работает, через командную строку тоже не получается (

как это связано с моими вопросами:

1. обои есть на рабочем столе от шифровальщика?

2. Можете эти файлы извлечь из карантина, и добавить в архив с паролем virus?

2 часа назад

я писал вроде что обои стандартные остались
из карантина не могу достать(

-------

В карантине нет пользователь до меня их просто удалил
Курейт предложил их вылечить удалением он так и сделал

Изменено 2 часа назад пользователем safety

2 часа назад

Судя по ранним уже темам:

Trojan.Encoder.31074 это LockbitV3Black

Надо искать на других устройствах, где был запуск, и где есть заставка на экране от Lockvit v3. С этого устройства и нужны будут логи и записка о выкупе. Скорее всего это будет ПК бухгалтеров.

Сэмпл мог залететь через почтовое сообщение с вложением.

Изменено 2 часа назад пользователем safety

2 часа назад

принесла его сторонняя контора которая с 1ской помогает бухгалтерам (предполагаю) так как все произошло в воскресенье ночью, но они пока молчат

в офисе больше никаких компов с такими файлами и заставками не обнаружил (

2 часа назад

Проверять надо ПК бухгалтера, скорее всего этот вариант LockbitV3Black от группы room155. Они рассылают бэкдор, (через который затем загружается шифровальщик), через электронную почту.

Не факт что эти логи курейт получены именно с этой машины, т.е. той что в логах FRST.

------

Если это Lockbit 3, то его не расшифровать без приватного ключа.

Изменено 2 часа назад пользователем safety

2 часа назад

Буду искать конец, отпишусь, спасибо за помощь

lockbit v3 black Вирус шифровальщик, можно ли восстановить файлы?

Рекомендуемые сообщения

CreativeArch

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

CreativeArch

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

CreativeArch

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

CreativeArch

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

CreativeArch

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

CreativeArch

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum