lockbit v3 black Зашифровали сервер и копьютеры.

[komma77]

Добрый день. Зашифрованы сервер и компьютеры.  

файлы и записка.zip Addition.txt FRST.txt

[safety]

В этой папке покажите, что у вас?

2025-06-28 00:08 - 2025-06-28 00:21 - 000000000 ____D C:\Users\Андрей*\Desktop\netpass-x64

 

Изменено 30 июня пользователем safety

[komma77]

пароль virus

netpass-x64.rar

[safety]

Дешифраторы, которые вы скачали, увы, не помогут в расшифровке ваших файлов.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\oLv9tK0S5.README.txt [2025-06-28] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 ATICDSDr; \??\C:\Users\78A6~1\AppData\Local\Temp\ATICDSDr.sys [X] <==== ВНИМАНИЕ
2025-06-28 08:33 - 2025-06-28 08:33 - 020386224 _____ (Famatech Corp. ) C:\Users\АндрейКомлев\Downloads\Advanced_Port_Scanner_2.5.3869.exe
2025-06-28 01:43 - 2025-06-28 10:19 - 000000000 ____D C:\Users\АндрейКомлев\AppData\Roaming\Process Hacker 2
2025-06-28 00:08 - 2025-06-28 00:21 - 000000000 ____D C:\Users\АндрейКомлев\Desktop\netpass-x64
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Если выполнили ранее сканирование системы с помощью KVRT или Cureit, добавьте, пожалуйста, отчеты о сканировании, в архиве, без пароля.

Если был найден сэмпл, которым выполнено шифрование, поместите сэмпл в архив с паролем virus, и добавьте архив в ваше сообщение.

 

+

проверьте ЛС.

[komma77]

cureit.zip Fixlog.txt

Изменено 30 июня пользователем safety

[safety]

В Pictures кроме processhacker ничего более нет? Возможно в эту папку злоумышленник складировал свои вредоносные инструменты

C:\users\андрей*\pictures\phx64\processhacker.exe - infected - 70ms, 1719840 bytes

----

сэмпл к сожалению не найден, или самоудалился.

Total 6 files (7 objects) are infected

 

 

Изменено 30 июня пользователем safety

[komma77]

Там только папка пустая

 

phx64.7z

 

Обнаружил на втором компьютере.

 

Пароль virus

[safety]

Это только process hacker - вспомогательный инструмент злоумышленников, тела шифровальщика у нас нет.

 

теперь, когда ваши данные был зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 1 июля пользователем safety