lockbit v3 black вирус

31 июля

приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо

систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок

virus.zip Addition.txt Shortcut.txt FRST.txt

31 июля

А можно уточнить, что именно скачивали, и откуда. Можно пока точно ссылку не указывать.

Этот файл заархивируйте с паролем virus,

Цитата

C:\Windows\skipmetrosuite.exe

архив добавьте в ваше сообщение

Она у вас странным образом загружается в автозапуске:

HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Windows\skipmetrosuite.exe, <==== ВНИМАНИЕ

Изменено 31 июля пользователем safety

1 августа

в папке проги там инсталеры ватцапа более не чего не качалось из нэта и с почты файлы как всегда от клиентов, других файлов небыло, даже не могу подсказать от куда появился шифровальщик

virus.zip progi.zip

Изменено 1 августа пользователем farguskz

1 августа

36 минут назад, farguskz сказал:

с почты файлы как всегда от клиентов

это один из способов попадания шифровальщиков, хотя и редко используемый в последнее время. Особенно если под видом документа на самом деле скрывается испоняемый файл.

Вас просили прислать файл C:\Windows\skipmetrosuite.exe, а Вы повторно прислали архив из первого сообщения.

1 августа

извините проглядел, на почте обычные файлы пдф вроде проглядели все загрузки не видно странных файлов

skipmetrosuite.zip

1 августа

Судя по логам, шифрование началось (как минимум в папке Загрузки пользователя z) приблизительно в 2025-07-30 14:35, а уже в 2025-07-30 15:18 один из новых файлов уцелел. Соответственно, чтобы сузить круг поиска (при условии, что шифрование началось после после прочтения чего-то по электронной почте), стоит посмотреть, что приходило по почте до указанного времени начала шифрования.

1 августа

спасибо, посмотрите пожалуйста скрины папок загрузок там не чего нету а вот в почте ссылка скачать при нажатии активируется, ссылку в тексте приложил

ссылка скачать.txt

Изменено 1 августа пользователем farguskz
добавить почту

1 августа

1 час назад, farguskz сказал:

извините проглядел

Файл скорее всего чистый, судя по описанию используется для настройки внешнего вида.

https://www.virustotal.com/gui/file/5f726de3eb78aaaea95a60ef4b2e97acf5fcdadce11abe14640d1cb6ebc01287/details

Вот конкретно по этому поводу и надо уточнить у менеджера, который утверждает что шифрование началось "после установки дистрибутива скаченного с официального сайта" - что именно он скачал, (название пакета установки, с какого сайта скачивал).

Примерное начало шифрования:

2025-07-30 14:35 - 2018-01-24 21:46 - 000002380 _____ C:\отключение усиленой конфигурации експлорера.txt.kjhVigUjl

пока выясняем причину атаки шифровальщика стоит позаботиться о бэкапах данных, которые вам будут необходимы для восстановления зашифрованных файлов.

Выяснить причину важно для того, чтобы атака шифровальщика не повторилась вновь.

Изменено 1 августа пользователем safety

1 августа

42 минуты назад, farguskz сказал:

ссылку в тексте приложил

сделайте по другому.

Это сообщение сохраните как файл в формате EML (т.е. вместе с вложением оно будет), файл добавьте в архив с паролем virus, и загрузите архив в ваше сообщение.

1 августа

Message17538613321642857272.zip

1 августа

Судя по VT вложение чистое. Добавьте таким же образом три другие сообщения в этот же день, которые были с вложением.

Изменено 1 августа пользователем safety

1 августа

в этот день не было больше писем, эти письма в вложении за 29, 28число, в рассылке(7от30 и 4 письма от 29) мы даже не открываем письма также как и соц сети(там писем нету за эти даты)

mail.zip

1 августа

проверьте ЛС.

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 1 августа пользователем safety

lockbit v3 black вирус

Рекомендуемые сообщения

farguskz

safety

farguskz

thyrex

farguskz

thyrex

farguskz

safety

safety

farguskz

safety

farguskz

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum