lockbit v3 black Зашифрованы файлы windows server 2019

7 марта

Добрый день. У меня взломали сервер с 1С. Все файлы зашифрованы. Прошу помощи. в архиве логи FRST и 2 зашифрованных файла с требованием

FRST.zip зашифриТребование.zip

7 марта

Шифрование на этом сервере было? не увидел следов шифрования в логах FRST.

7 марта

да. зашифрованы все файлы, в том числе базы 1с

прошу прощения прикрепил не те логи

7 марта

На каких дисках были зашифрованы файлы? Судя по логам системный диск не затронут шифрованием.

7 марта

вот верные

Addition.txt FRST.txt

я первоначально прикрепил ошибочные логи с незатронутого компьютера. верные- выше. при проверке был отключен архивный диск

7 марта

И здесь я не вижу следов шифрования, кроме как были добавлены в downloads несколько дешифраторов.

Этот файл добавьте еще.

2025-03-07 14:29 - 2025-03-07 14:29 - 000000940 _____ C:\Users\jangur\Downloads\FILES_ENCRYPTED.txt

7 марта

я нещадно туплю, прошу извинить. вот верные файлы скана FRSTAddition.txtAddition.txtAddition.txtAddition.txt

FRST.txt

8 марта

да, на этом устройстве было шифрование.

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и возможно запросит перезагрузку системы

Start::
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CiH5i9Vnw.README — копия (2).txt [2025-03-07] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CiH5i9Vnw.README — копия (3).txt [2025-03-07] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CiH5i9Vnw.README — копия.txt [2025-03-07] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CiH5i9Vnw.README.txt [2025-03-07] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-03-07 08:48 - 2025-03-07 08:48 - 004147254 _____ C:\ProgramData\CiH5i9Vnw.bmp
End::

После выполнения скрипта:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Если уже сканировали систему в Cureit или KVRT, добавьте, пожалуйста, отчеты о сканировании в архиве, без пароля.

8 марта

файлы CiH5i9Vnw.README.txt удалял до выполнения скрипта

fixlog.txt

8 марта

С расшифровкой, к сожалению, не сможем помочь по данному типу шифровальщика.

+

проверьте ЛС.

lockbit v3 black Зашифрованы файлы windows server 2019

Рекомендуемые сообщения

jangur

safety

jangur

safety

jangur

safety

jangur

safety

jangur

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum