lockbit v3 black шифровальщик JFZRZNDDZ

23 июня

Добрый день!

На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера

Можно ли как то расшифровать файлы. Помогите пожалуйста.

Изменено 23 июня пользователем kocks33

23 июня

Добавьте несколько зашифрованных файлов, записку о выкупе в архиве без пароля

+

логи FRST из зашифрованной системы.

23 июня

Высылаю файлы и Логи FRST

111.7z

logs.7z

Изменено 23 июня пользователем kocks33

23 июня

Добавьте так же папку reports из папки

2025-06-23 11:07 - 2025-06-23 11:30 - 000000000 ____D C:\KVRT2020_Data

для проверки результата сканирования KVRT

23 июня

прикрепляю

KVRT2020_Data.rar

23 июня

Судя по отчету KVRT ничего не найдено.

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-21-3104277884-3203561218-1761272143-1005\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1006\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1009\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1010\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1011\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1014\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1015\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1020\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1022\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1023\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1024\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1025\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Прочти! - копия.txt [2025-06-22] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Прочти!.txt [2025-06-22] () [Файл не подписан]
2025-06-23 00:47 - 2025-06-23 00:47 - 004147254 _____ C:\ProgramData\JFzRZNDDZ.bmp
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти!.txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия.txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (9).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (8).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (7).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (6).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (5).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (4).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (3).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (2).txt
2025-06-22 20:37 - 2025-06-22 20:52 - 000000000 ____D C:\Users\Администратор\AppData\Local\Advanced Port Scanner 2
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 23 июня пользователем safety

23 июня

Все файлы загружены сюда

файл загружен, ссылка удалена

Изменено 23 июня пользователем safety

23 июня

Хорошо, проверьте ЛС.

lockbit v3 black шифровальщик JFZRZNDDZ

Рекомендуемые сообщения

kocks33

safety

kocks33

safety

kocks33

safety

kocks33

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum