lockbit v3 black Шифровальщик зашифровал файлы расширение .6iENBa2rG

3 марта

Добрый день, такое же и у меня случилось, с таким же расширением, никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы вод или экселя. Кидаю пример файла и текст с выкупом

6iENBa2rG.README.txt Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar

Сообщение от модератора kmscom

Сообщение перенесено из темы Шифровальщик зашифровал файлы расширение .6iENBa2rG

3 марта

Добрый день, зашифровали данные ,никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы ворд или экселя. Кидаю пример файла и текст с выкупом

Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar 6iENBa2rG.README.txt

3 марта

Добавьте так же логи FRST из зашифрованной системы.

3 марта

8 часов назад, safety сказал:

Добавьте так же логи FRST из зашифрованной системы.

Addition.txt FRST.txt

025-02-28 08:36 - 2025-02-28 08:36 - 013621539 _____ C:\Users\NP\Documents\AD_Port
2025-02-28 08:36 - 2025-02-28 08:36 - 002654262 _____ C:\ProgramData\6iENBa2rG.bmp
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\Downloads\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\Documents\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\Desktop\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\AppData\Roaming\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\AppData\LocalLow\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\AppData\Local\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\AppData\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\AppData\Roaming\Microsoft\MMC
2025-02-28 08:36 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\AppData\LocalLow\Temp
2025-02-28 08:35 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\Documents\Everything-1.4.1.1024.x64

8 часов назад, safety сказал:

Добавьте так же логи FRST из зашифрованной системы.

Это может быть то что все зашифровало?

3 марта

Посмотрим.

Добавьте так же отчеты KVRT в архиве без пароля.

2025-03-03 09:19 - 2025-03-03 09:19 - 113603432 _____ (AO Kaspersky Lab) C:\Users\1c\Downloads\KVRT.exe
2025-03-03 09:19 - 2025-03-03 09:19 - 000000000 ____D C:\KVRT2020_Data

Изменено 24 сентября пользователем safety

3 марта

8 минут назад, safety сказал:

Посмотрим.

Добавьте так же отчеты RVRT в архиве без пароля.

2025-03-03 09:19 - 2025-03-03 09:19 - 113603432 _____ (AO Kaspersky Lab) C:\Users\1c\Downloads\KVRT.exe
2025-03-03 09:19 - 2025-03-03 09:19 - 000000000 ____D C:\KVRT2020_Data

KVRT2020_Data.rar

3 марта

Ничего не нашлось в KVRT

Выполните скрипт в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-02-28 08:36 - 2025-02-28 08:36 - 013621539 _____ C:\Users\NP\Documents\AD_Port
2025-02-28 08:36 - 2025-02-28 08:36 - 002654262 _____ C:\ProgramData\6iENBa2rG.bmp
2025-02-28 08:35 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\Documents\Everything-1.4.1.1024.x64
2025-02-28 08:35 - 2022-03-08 09:10 - 000000285 _____ C:\Users\NP\Documents\1c.cmd
2025-02-28 08:35 - 2020-11-13 13:30 - 000003611 _____ C:\Users\NP\Documents\closeapps.bat
2025-02-28 08:35 - 2019-02-14 18:00 - 000000273 _____ C:\Users\NP\Documents\backup.bat
2025-02-28 08:35 - 2019-02-14 18:00 - 000000063 _____ C:\Users\NP\Documents\LogDelete.bat
2025-02-28 08:35 - 2018-06-09 11:01 - 000000028 _____ C:\Users\NP\Documents\Shadow.bat
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

3 марта

13 минут назад, safety сказал:
Ничего не нашлось в KVRT

Выполните скрипт в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы
Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-02-28 08:36 - 2025-02-28 08:36 - 013621539 _____ C:\Users\NP\Documents\AD_Port
2025-02-28 08:36 - 2025-02-28 08:36 - 002654262 _____ C:\ProgramData\6iENBa2rG.bmp
2025-02-28 08:35 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\Documents\Everything-1.4.1.1024.x64
2025-02-28 08:35 - 2022-03-08 09:10 - 000000285 _____ C:\Users\NP\Documents\1c.cmd
2025-02-28 08:35 - 2020-11-13 13:30 - 000003611 _____ C:\Users\NP\Documents\closeapps.bat
2025-02-28 08:35 - 2019-02-14 18:00 - 000000273 _____ C:\Users\NP\Documents\backup.bat
2025-02-28 08:35 - 2019-02-14 18:00 - 000000063 _____ C:\Users\NP\Documents\LogDelete.bat
2025-02-28 08:35 - 2018-06-09 11:01 - 000000028 _____ C:\Users\NP\Documents\Shadow.bat
End::
После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

https://disk.yandex.ru/d/0cl6NO_M0bfH5w

Fixlog.txt

3 марта

Шифровальщик может и был в этой папке, но сейчас его нет.

Проверьте ЛС.

3 марта

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

lockbit v3 black Шифровальщик зашифровал файлы расширение .6iENBa2rG

Рекомендуемые сообщения

Александр Щепочкин

Ссылка на комментарий

Поделиться на другие сайты

Александр Щепочкин

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Александр Щепочкин

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Александр Щепочкин

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Александр Щепочкин

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum