lockbit v3 black вирус

[farguskz]

приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо

систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок

virus.zip Addition.txt Shortcut.txt FRST.txt

[safety]

А можно уточнить, что именно скачивали, и откуда. Можно пока точно ссылку не указывать.

Этот файл заархивируйте с паролем virus,

Цитата

C:\Windows\skipmetrosuite.exe

архив добавьте в ваше сообщение

Она у вас странным образом загружается в автозапуске:

HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Windows\skipmetrosuite.exe, <==== ВНИМАНИЕ

 

Изменено 21 час назад пользователем safety

[farguskz]

 в папке проги там инсталеры ватцапа более не чего не качалось из нэта и с почты файлы как всегда от клиентов, других файлов небыло, даже не могу подсказать от куда появился шифровальщик

virus.zip progi.zip

Изменено 7 часов назад пользователем farguskz

[thyrex]

36 минут назад, farguskz сказал:

с почты файлы как всегда от клиентов

это один из способов попадания шифровальщиков, хотя и редко используемый в последнее время. Особенно если под видом документа на самом деле скрывается испоняемый файл.

 

Вас просили прислать файл C:\Windows\skipmetrosuite.exe, а Вы повторно прислали архив из первого сообщения.

[farguskz]

извините проглядел, на почте обычные файлы пдф вроде проглядели все загрузки не видно странных файлов

skipmetrosuite.zip

[thyrex]

Судя по логам, шифрование началось (как минимум в папке Загрузки пользователя z) приблизительно в 2025-07-30 14:35, а уже в 2025-07-30 15:18 один из новых файлов уцелел. Соответственно, чтобы сузить круг поиска (при условии, что шифрование началось после после прочтения чего-то по электронной почте), стоит посмотреть, что приходило по почте до указанного времени начала шифрования.

[farguskz]

спасибо, посмотрите пожалуйста скрины папок загрузок там не чего нету а вот в почте ссылка скачать при нажатии активируется, ссылку в тексте приложил

ссылка скачать.txt

ссылка скачать.txt

Изменено 5 часов назад пользователем farguskz
добавить почту

[safety]

1 час назад, farguskz сказал:

извините проглядел

Файл скорее всего чистый, судя по описанию используется для настройки внешнего вида.

https://www.virustotal.com/gui/file/5f726de3eb78aaaea95a60ef4b2e97acf5fcdadce11abe14640d1cb6ebc01287/details

 

Вот конкретно по этому поводу и надо уточнить у менеджера, который утверждает что шифрование началось "после установки дистрибутива скаченного с официального сайта" - что именно он скачал, (название пакета установки, с какого сайта скачивал).

 

Примерное начало шифрования:

2025-07-30 14:35 - 2018-01-24 21:46 - 000002380 _____ C:\отключение усиленой конфигурации експлорера.txt.kjhVigUjl

 

пока выясняем причину атаки шифровальщика стоит позаботиться о бэкапах  данных, которые вам будут необходимы для восстановления зашифрованных файлов.

 

Выяснить причину важно для того, чтобы атака шифровальщика не повторилась вновь.

Изменено 5 часов назад пользователем safety

[safety]

42 минуты назад, farguskz сказал:

ссылку в тексте приложил

сделайте по другому.

Это сообщение сохраните как файл в формате EML (т.е. вместе с вложением оно будет), файл добавьте в архив с паролем virus, и загрузите архив в ваше  сообщение.

[farguskz]

Message17538613321642857272.zip

[safety]

Судя по VT вложение чистое. Добавьте таким же образом три другие сообщения в этот же день, которые были с вложением.

 

Изменено 1 час назад пользователем safety

[farguskz]

в этот день не было больше писем, эти письма в вложении за 29, 28число, в рассылке(7от30 и 4 письма от 29) мы даже не открываем письма также как и соц сети(там писем нету за эти даты)

mail.zip

[safety]

проверьте ЛС.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 26 минут назад пользователем safety