lockbit v3 black Шифрование виртуалок и рабочих станций

[CredoLin]

Здравствуйте!

 

В ночь произошел инцидент, в котором выяснилось, что кто-то смог авторизоваться с помощью учетной записи Kaspersky, подобрать пароль от машин VMWare и зашифровать виртуальные машины, а также содержимое файловых систем.

Файл с требованиями находится внутри архива.

Доступ по RDP есть к этим виртуальным машинам есть. Сейчас отключено RDP.

 

ИИ намекнул, что, возможно, это ALPHV, LockBit или BlackMatter.

 

Прошу помочь в определении шифровальщика и возможность дешифровки.

 

зашифрованные файлы.zip FRST.txt Addition.txt

[safety]

Дешифраторы, скаченные по списку с сайта, зря не гоняйте, они не подойдут к любому из перечисленных ИИ вариантов. Скорее всего, это Lockbit, так как группы BlackMatter, ALPHV прекратили свою деятельность, хотя и есть определенное родство в коде Lockbit и BlackMatter. Важнее будет определить какая группа стоит за вариантом Lockbit, которым вас атаковали.

-------

судя по контакту из записки: bncsupport[собака]privacyrequired.com, вариант от этой группы был месяцем ранее на bleepingcomputer.com

Эксперты здесь определяют что данный контакт относится к группе

Цитата

Previously, this group called itself DARKANGELSTEAM.

 

С расшифровкой не сможем помочь.

Без приватного ключа LockbitV3 не расшифровать, и Nomoreransom не поможет, так как подобные группы используют утекший билдер, и соответственно ключи не попадают в оф. группу Lockbit.

 

2 часа назад, CredoLin сказал:

В ночь произошел инцидент, в котором выяснилось, что кто-то смог авторизоваться с помощью учетной записи Kaspersky

 

Если есть лицензия на продукт Касперского, возможно следует провести тщательное расследование о причине проникновения злоумышленников в вашу ЛС.

Изменено 5 августа, 2025 пользователем safety

[CredoLin]

Дешифратор существует на данный момент по Lockbit 3?

 

Лицензия на Kaspersky имеется.

Изменено 5 августа, 2025 пользователем CredoLin

[safety]

И это важно.

Файл шифровальщика есть в логах

2025-08-05 01:33 - 2025-07-07 00:12 - 000162816 _____ C:\Users\Kaspersky\Documents\LB3.exe

Заархивируйте его с паролем virus, добавьте архив в ваше сообщение.

Цитата

Дешифратор существует на данный момент по Lockbit 3?

Дешифратор существует, т.е. проблема не в нем, а в приватном ключе, который генерируется билдером при каждом его запуске и может быть уникальным в каждой атаке. Шифрование же выполняется публичном ключом. Сэмпл шифрования содержит только публичный ключ.

+

проверьте ЛС.

Изменено 5 августа, 2025 пользователем safety

[CredoLin]

LB3.7zНаправил файл. Пароль virus.

[safety]

Да, это ваш шифровальщик:

Цитата

ransom ext: ".zGAVFbhF5"
ransom note name: "zGAVFbhF5.README.txt"

но мы можем получить из него только публичный ключ pub.key, которым шифровали, а вам для расшифровки нужен приватный ключ priv.key.

priv.key создан на стороне злоумышленников, соответственно только они им владеют.