lockbit v3 black Помощь с определением шифровальщика

[itz]

Добрый день, помогите пожалуйста с определением типа шифровальщика и возможности расшифровать данные файлы. Прилагаю несколько файлов в архиве и записку с требованиями

bNch5yfLR.README.txt шифровальщик.rar

[thyrex]

Здравствуйте.

 

Выполните в полном объеме Правила оформления запроса о помощи

Новую тему создавать не нужно, прикрепите логи к следующему сообщению в текущей теме.

[itz]

Спасибо за ответ, система на которой произошло заражение более недоступна, остались только файлы и записка с требованиями от злоумышленников. Вирус был удален с помощью Kaspersky Rescue Disk. Прикладываю несколько файлов повторно по указанным правилам

files.rar

[safety]

Логи от KRD можете добавить? шифровальщик прилетел с большой вероятностью через почтовое вложение. проверьте, пожалуйста, почту пользователя, который был зашифрован. Если сообщение в почте сохранилось, сохраните/экспортируйте его в файл в формате eml вместе с вложением, добавьте файл в архив с паролем virus, добавьте данный архив в ваше сообщение.

Изменено 26 июля пользователем safety

[itz]

Вы правы, он пришел по почте, но на ней ничего не осталось к сожалению, так как заражение произошло около года назад, логов KRD также нет, по этой причине.Данные с диска попали ко мне только сейчас. Если судить по информации из публичных источников по тексту письма требования, это продукт группы room155. И если судить по той же информации они используют LockBit 3 Black. Вот статья по теме с HABRа - https://habr.com/ru/companies/F6/articles/920920/ . Я попробовал взять с сайта nomoreransom.org декриптор для LockBit 3 Ransom, но вероятно неправильно что-то делаю, он не нашел информацию по идентификатору указанному в письме требовании. Буду признателен за любую помощь

[safety]

Нам была бы интересна дата шифрования.

Да, room155 нам хорошо известен. Если вы обратили внимание, в статье от специалистов F6 в том числе есть ссылки на материал нашего форума.

 

 

Декриптор с Nomoreransom вам (и нам) не поможет, так как room155 использует LockbitV3Black, созданный на базе утекшего билдера Lockbit v3, и ключи, которые используются этой группой, никак не попадают на сервера оф. группы Lockbit, т.е. многие, кто использует билдер, в том числе и room155, работают автономно, и не зависят от оф. группы Lockbit. Единственный шанс - атаковать сервера room155, чтобы был шанс получить хранимые ими приватные ключи.

Изменено 27 июля пользователем safety

[itz]

Спасибо за за развернутый ответ, очень жаль что пока не существует доступного декриптора. Дата шифрования большинства файлов в на диске 29.07.2024. Время около 01:44:24

[safety]

Судя по дате обращения, видим в таблице, что на форум ранее уже обращались с этим расширением *.bNch5yfLR.

 

 

и так же не предоставили логи.

 

Дектрипторы пока не предвидятся.

Последний из декрипторов, для Phobos, стал возможен в результате ареста полицией участников данной группы.

Изменено 27 июля пользователем safety