lockbit v3 black вирус шифровальщик (.1mJ3g1TA4)

[Olga650]

Addition.txtFRST.txtТабель 2025 (.1mJ3g1TA4)  ссылка удалена облако с вирусом (без пароля)

Отчёт Касперского.txt 1mJ3g1TA4.README.txt  Поймали вирус шифровальщик 26.02. Антивирус не стоял. После был установлен Касперский стандарт. Стандартные решения по расшифровке не помогли. Удалось найти несколько документов оригиналов, до шифровки и после.

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не публикуйте вредоносные файлы, а также ссылки на них.

 

Изменено 2 марта пользователем safety

[safety]

Письмо, которое получили с архивом *.cab сохранилось?

Можете сохранить из почты это сообщение в формате EML и добавить файл сообщения в архив с паролем virus,  и прикрепить к вашему сообщению?

Так же сделайте с архивом Сверка.cab,

Добавьте этот файл Сверка.cab в другой архив: rar или 7z с паролем virus, и еще раз загрузите в облако.

Без пароля вирусы не выкладывайте на облачный диск.

---------

Судя по отчету Касперского, антивирус очистил файл шифровальщика.

Цитата

26.02.2025 16:05:38    C:\Users\Музей-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe    svchost.exe    C:\Users\Музей-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup    Процесс    Обнаружено    Обнаружен вредоносный объект    Обнаружено    HEUR:Trojan-Ransom.Win32.Generic    Троянское приложение    Высокая    Частично        avp.exe    C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.20\avp.exe    C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.20        HOME-PC\Музей-2    Активный пользователь    Экспертный анализ

 

Изменено 2 марта пользователем safety

[safety]

17 минут назад, Olga650 сказал:

Стандартные решения по расшифровке не помогли. Удалось найти несколько документов оригиналов, до шифровки и после.

Для данного типа шифровальщика эти решения не помогут, напрасная трата времени.

Цитата

2025-02-27 12:00 - 2025-02-27 12:06 - 000000000 ____D C:\Users\Музей-2\Downloads\black-basta-buster-master
2025-02-27 11:53 - 2025-02-27 11:53 - 000640209 _____ C:\Users\Музей-2\Downloads\black-basta-buster-master.zip
2025-02-27 11:52 - 2025-02-27 11:52 - 000000000 ____D C:\Users\Музей-2\AppData\Local\nomoreransom
2025-02-27 11:51 - 2025-02-27 11:51 - 005761682 _____ C:\Users\Музей-2\Downloads\check_decryption_id_manual.zip
2025-02-27 11:41 - 2025-02-27 11:41 - 000853144 _____ (Kaspersky Lab AO) C:\Users\Музей-2\Downloads\xoristdecryptor.exe
2025-02-27 11:39 - 2025-02-27 11:39 - 000002134 _____ C:\WildfireDecryptor.1.0.1.0_27.02.2025_11.39.37_log.txt
2025-02-27 11:38 - 2025-02-27 11:39 - 000002154 _____ C:\ShadeDecryptor.1.2.1.0_27.02.2025_11.38.56_log.txt
2025-02-27 11:38 - 2025-02-27 11:38 - 000002044 _____ C:\CoinVaultDecryptor.1.0.1.0_27.02.2025_11.38.22_log.txt
2025-02-27 11:37 - 2025-02-27 11:38 - 000002412 _____ C:\RannohDecryptor.1.26.1.0_27.02.2025_11.37.13_log.txt
2025-02-27 11:36 - 2025-02-27 11:40 - 018381088 _____ C:\RectorDecryptor.2.7.1.0_27.02.2025_11.36.23_log.txt
2025-02-27 11:36 - 2025-02-27 11:37 - 001456780 _____ C:\XoristDecryptor.2.5.6.0_27.02.2025_11.36.46_log.txt
2025-02-27 11:28 - 2025-02-27 11:30 - 018477694 _____ C:\RectorDecryptor.2.7.1.0_27.02.2025_11.28.12_log.txt
2025-02-27 11:21 - 2025-02-27 11:28 - 007477322 _____ C:\XoristDecryptor.2.5.6.0_27.02.2025_11.21.02_log.txt
2025-02-27 11:18 - 2025-02-27 11:19 - 000003086 _____ C:\RakhniDecryptor.1.47.2.0_27.02.2025_11.18.19_log.txt

пара чистый и зашифрованный так же не поможет. Не сбрутится ключ.

[Olga650]

Message17401336220351088627.rar письмо с вирусом eml

[safety]

1. блокируйте запуск исполняемых файлов из архивов через локальные политики.

2. информируйте сотрудников о подозрительных расширениях архивов из вложений, требуйте от поставщиков архивы только определенного формата. (rar, zip, 7z с какими удобнее работать)

 

Видим же, что расширение архива нестандартное: не zip, не rar, не 7z, а другое - cab, которое в деловой переписке никогда не используется.

Значит проверяем вложение на том же virustotal.com или virusscan.com

И что видим:

https://www.virustotal.com/gui/file/ca7c7c5ca00928034ae45f6ebcae7494458bce300902a106d54dedc78454a84c/details

Архив содержит исполняемый файл, RTF добавлен для отвлечения:

 

Судя по отчету Касперского система очищена от активных тел шифровальщика.

 

по расшифровке файлов после атаки LockbitV3Black, к сожалению, не сможем вам помочь, не имея приватного ключа.

Поскольку сэмпл шифровальщика содержит только публичный ключ, а приватный ключ и дешифратор остаются на стороне злоумышленников.

На текущий момент восстановление данных возможно только из бэкапов.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Обратите внимание на статистику обращений по данному шифровальщику по данной конкретной группе room155.

Рассылки подобных писем проводится регулярно, 1-2 раза в месяц. Там что может оказаться, что атака повторится, если не принимать никаких мер.

 

 

Если есть возможность, восстановите этот файл из карантина антивируса,

26.02.2025 16:05:38    C:\Users\Музей-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe    svchost.exe   

добавьте его в архив с паролем virus, загрузите на облачный диск, добавьте в ваше сообщение ссылку на скачивание. !!!Восстановленный файл сразу удалите.

Изменено 3 марта пользователем safety