lockbit v3 black Помощь в расшифровке файлов, после атаки Trojan.Encoder.31074 (Lockbit 3)

[Мурат Профит]

Здравствуйте!
Сегодня утром 17.05.2025, чуть позже 9.00 нас атаковала программа-шифровальщик.
У файлов изменено расширение. И их невозможно открыть, как это делалось обычно.
На сервере, где были зашифрованы файлы, установленный антивирус злоумышленники каким-то образом удалили.
Файл шифровальщика не обнаружен.

Addition.txt FRST.txt Shortcut.txt Файлы и требования.rar

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-21-3087295916-1336931651-3706808734-1003\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3087295916-1336931651-3706808734-1004\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3087295916-1336931651-3706808734-1005\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3087295916-1336931651-3706808734-1008\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3087295916-1336931651-3706808734-1009\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3087295916-1336931651-3706808734-1010\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\gJ5LxcEQ7.README.txt [2025-05-17] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-05-17 09:05 - 2025-05-17 09:09 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Process Hacker 2
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[safety]

Если скрипт очистки был выполнен, добавьте файл Fixlog.txt (из папки, откуда запускали FRST, в ваше сообщение)

[Мурат Профит]

Скрипт очистки выполнен.

Fixlog.txt

[safety]

С расшифровкой файлов по данному типу шифровальщиков не сможем помочь.

 

Общие рекомендации:

 

теперь, когда ваши файлы был зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);