lockbit v3 black Помощь с определением шифровальщика

26 июля

Добрый день, помогите пожалуйста с определением типа шифровальщика и возможности расшифровать данные файлы. Прилагаю несколько файлов в архиве и записку с требованиями

bNch5yfLR.README.txt шифровальщик.rar

26 июля

Здравствуйте.

Выполните в полном объеме Правила оформления запроса о помощи

Новую тему создавать не нужно, прикрепите логи к следующему сообщению в текущей теме.

26 июля

Спасибо за ответ, система на которой произошло заражение более недоступна, остались только файлы и записка с требованиями от злоумышленников. Вирус был удален с помощью Kaspersky Rescue Disk. Прикладываю несколько файлов повторно по указанным правилам

files.rar

26 июля

Логи от KRD можете добавить? шифровальщик прилетел с большой вероятностью через почтовое вложение. проверьте, пожалуйста, почту пользователя, который был зашифрован. Если сообщение в почте сохранилось, сохраните/экспортируйте его в файл в формате eml вместе с вложением, добавьте файл в архив с паролем virus, добавьте данный архив в ваше сообщение.

Изменено 26 июля пользователем safety

26 июля

Вы правы, он пришел по почте, но на ней ничего не осталось к сожалению, так как заражение произошло около года назад, логов KRD также нет, по этой причине.Данные с диска попали ко мне только сейчас. Если судить по информации из публичных источников по тексту письма требования, это продукт группы room155. И если судить по той же информации они используют LockBit 3 Black. Вот статья по теме с HABRа - https://habr.com/ru/companies/F6/articles/920920/ . Я попробовал взять с сайта nomoreransom.org декриптор для LockBit 3 Ransom, но вероятно неправильно что-то делаю, он не нашел информацию по идентификатору указанному в письме требовании. Буду признателен за любую помощь

27 июля

Нам была бы интересна дата шифрования.

Да, room155 нам хорошо известен. Если вы обратили внимание, в статье от специалистов F6 в том числе есть ссылки на материал нашего форума.

Декриптор с Nomoreransom вам (и нам) не поможет, так как room155 использует LockbitV3Black, созданный на базе утекшего билдера Lockbit v3, и ключи, которые используются этой группой, никак не попадают на сервера оф. группы Lockbit, т.е. многие, кто использует билдер, в том числе и room155, работают автономно, и не зависят от оф. группы Lockbit. Единственный шанс - атаковать сервера room155, чтобы был шанс получить хранимые ими приватные ключи.

Изменено 27 июля пользователем safety

27 июля

Спасибо за за развернутый ответ, очень жаль что пока не существует доступного декриптора. Дата шифрования большинства файлов в на диске 29.07.2024. Время около 01:44:24

27 июля

Судя по дате обращения, видим в таблице, что на форум ранее уже обращались с этим расширением *.bNch5yfLR.

и так же не предоставили логи.

Дектрипторы пока не предвидятся.

Последний из декрипторов, для Phobos, стал возможен в результате ареста полицией участников данной группы.

Изменено 27 июля пользователем safety

lockbit v3 black Помощь с определением шифровальщика

Рекомендуемые сообщения

itz

thyrex

itz

safety

itz

safety

itz

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum