lockbit v3 black Предположительно Lockbit зашифровал файлы

[Nibug]

KxJiaPR.rar10 Мая неизвестными путями проник шифровальщик и заблочил большое количество файлов. Утилиты касперского не могут определить тип шифра и тем более расшифровать файлы 1.txt

 

Сообщение от модератора Mark D. Pearlstone

Тема перемещена из раздела "Компьютерная помощь".

[Nibug]

1 час назад, Nibug сказал:

KxJiaPR.rar10 Мая неизвестными путями проник шифровальщик и заблочил большое количество файлов. Утилиты касперского не могут определить тип шифра и тем более расшифровать файлы 1.txt

 

Сообщение от модератора Mark D. Pearlstone

Тема перемещена из раздела "Компьютерная помощь".

 

Addition.txt FRST.txt

[safety]

Этот файл C:\sed.exe

нашли на зашифрованных ПК?

он копировался с домена:

COPY /Y \\[DOMAIN]\SYSVOL\[DOMAIN]\scripts\sed.exe C:\sed.exe

 

Злоумышленники добавили свою учетную запись в группу Администраторы.

Цитата

net user admin123 "QweQwe1@" /add
net localgroup Администраторы admin123 /add

 

Дешифраторы, которых вы скачали здесь более десятка, увы, не помогут с расшифровкой.

 

Так понимаю, что записку о выкупе вам не оставили. Следует, что цель злоумышленников была уничтожение данных, без возможности расшифровать их.

 

Цитата

Утилиты касперского не могут определить тип шифра

Если сканировали устройства с помощью KVRT

2025-05-11 13:54 - 2025-05-11 15:19 - 000000000 ____D C:\KVRT2020_Data
2025-05-11 13:53 - 2025-05-11 13:54 - 114537320 _____ (AO Kaspersky Lab) C:\Users\oit\Downloads\KVRT.exe

Добавьте, пожалуйста, в архиве без пароля папку Reports из каталога C:\KVRT2020_Data

 

По детектам Касперского это может быть:

HEUR:Trojan-Ransom.Win32.Generic

https://www.virustotal.com/gui/file/535e0dbd97cb9ea66f375400b550dd3bcad0788a89fb46996a651053a2df07c3/detection

+

вопрос:

Была ли установлена антивирусная защита (кроме WinDef) на устройствах, которые были зашифрованы?

 

По параметрам шифрования:

      "encrypt_filename": true,   && шифруются имена файлов

      "note": ""                            && текст записки о выкупе пустой, значит файл записки о выкупе не создается.

 

Если был в параметре note был текст, то был бы файл записки о выкупе в виде:

S8fyxRJUX.README.txt

 

Здесь, очевидно, сводный результат по всем зашифрованным устройствам.

Цитата

tasklist | findstr "sed.exe" && echo "[+] %COMPUTERNAME%" >> \\[DOMAIN]\SYSVOL\[DOMAIN]\scripts\result.bat

 

 

 

 

Изменено 12 мая, 2025 пользователем safety

[Nibug]

Давайте по порядку 

1. файл sed.exe нашли на устройствах, занимаемся уничтожением 

2. учетную запись admin123 тоже убираем везде 

3. Репорт с кврт приложил 

4. антивирусная защита везде была Касперский 

 

Reports.rar

[safety]

1. Хэши sed.exe должны совпадать с этими:

Цитата

MD5
39b91f5dfbbec13a3ec7cce670cf69ad
SHA-1
19ec859708e58b1275ee1bdb48aa1966757266d0
SHA-256
535e0dbd97cb9ea66f375400b550dd3bcad0788a89fb46996a651053a2df07c3

 

3. отчеты KVRT гляну немного позже, нет под рукой сейчас декриптора логов, но должен быть детект, если при запуске KVRT на дисках был sed.exe.

 

Цитата

        <Block0 Type="Scan" Processed="514014" Found="1" Neutralized="1">
            <Event0 Action="Scan" Time="133914396176854345" Object="" Info="Started" />
            <Event1 Action="Detect" Time="133914403111636820" Object="C:\sed.exe" Info="HEUR:Trojan-Ransom.Win32.Generic" />
            <Event2 Action="Scan" Time="133914414287982894" Object="" Info="Finished" />
            <Event3 Action="Select action" Time="133914428871675809" Object="C:\sed.exe" Info="Delete" />
            <Event4 Action="Disinfection" Time="133914428871675809" Object="" Info="Started" />
            <Event5 Action="Quarantined" Time="133914428871832125" Object="C:\sed.exe" Info="" />
            <Event6 Action="Deleted" Time="133914428871832125" Object="C:\sed.exe" Info="" />
            <Event7 Action="Disinfection" Time="133914428874331783" Object="" Info="Finished" />
        </Block0>

 

 

4. В логах антивирусов на клиентах есть отключение защиты на момент шифрования? Установлена корпоративная версия? С консолью управления?

 

5. ПК, которые подключались к DC наверняка были атакованы. Если кто-то выключил устройство в момент атаки, лучше проверить с помощью загрузочного KRD.

Изменено 12 мая, 2025 пользователем safety

[Nibug]

3 часа назад, safety сказал:

1. Хэши sed.exe должны совпадать с этими:

 

3. отчеты KVRT гляну немного позже, нет под рукой сейчас декриптора логов, но должен быть детект, если при запуске KVRT на дисках был sed.exe.

 

 

 

4. В логах антивирусов на клиентах есть отключение защиты на момент шифрования? Установлена корпоративная версия? С консолью управления?

 

5. ПК, которые подключались к DC наверняка были атакованы. Если кто-то выключил устройство в момент атаки, лучше проверить с помощью загрузочного KRD.

4. Пока что нет возможности посмотреть логи на момент шифрования. Установлена корпоративная, с консолью управления

[safety]

1 час назад, Nibug сказал:

4. Пока что нет возможности посмотреть логи на момент шифрования. Установлена корпоративная, с консолью управления

При включенной защите шифровальщик должен быть удален. Этот файл не менялся как минимум год.

[Nibug]

Не прибегая к логам (потому что, на данный момент нет доступа) можно предположить, что они отрубали защиту касперского через созданную учетку admin123?

[safety]

Лучше все таки проверить по логам.