lockbit v3 black Утром приключилась беда. Схватил шифровальщика. Расширение .TeGgRfQk1.

[thyrex]

1. Выделите код, который Вам предоставил коллега, и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[АндрейПеркка]

Fixlog.txt

[safety]

11 часов назад, АндрейПеркка сказал:

И что с ссылкой этой делать?

С ссылкой  ничего не надо делать. Это ссылка на результат проверки данного файла.

 

Кроме Fixlog мы вас просили:

1.

Цитата

 

Если это ваше устройство, проверьте что есть в почте за день-два до шифрования.

Если есть сообщение с темой "Акт сверки*" и с вложенным архивом, или со ссылкой на файл в сети, сохраните данное сообщение в файл в формате eml, заархивируйте файл с паролем virus, и добавьте архив в ваше сообщение.

 

2.
 

Цитата

 

Добавьте отчеты по обнаружению и сканированию из антивируса Касперского,

Если сканировали в KVRT,

найдите в корне диска папку KVRT*_DATA

добавьте отчеты  из папки reports в архиве, без пароля.

 

3.

Цитата

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

Изменено 15 часов назад пользователем safety

[АндрейПеркка]

Message17545466221890473130.part1.rar

Message17545466221890473130.part2.rar

 

report.rar

[safety]

по файлу eml:

Сообщение то самое. Письмо адресное,  с полным расчетом, что оно будет перенаправлено бухгалтеру уже с доверенного адреса.

Что во вложении видим:

1. исполняемый файл + файл для отвлечения внимания.

2. Если загрузить файл Eml для проверки (по сути будет проверен архив (он без пароля)

детектируется как бэкдор многими антивирусами.

https://www.virustotal.com/gui/file/45c1ff1de033ec4b1b1e1c35fcde3e3d88bd35f0a2dc4b3efeeb33b51cc4a667?nocache=1

 

3. Если загрузить архив (1.zip)

https://www.virustotal.com/gui/file/7dd33e93c3f4d7cfad237c011377acd09a1167b1dc07149247a2fb44f3b9505e/details

видим предупреждение, что архив содержит исполняемый файл.

Что надо сделать:

Как минимум, установить запрет на запуск исполняемых файлов из архивов. + информировать сотрудников об опасности, исходящей из вложений почты, т.е. обращать внимание является ли файл во вложении тем самым офисным документом. + антивирусная защита должна была сработать на устройстве, так как файл детектируется основными антивирусами.

 

 

Изменено 3 часа назад пользователем safety

[safety]

По архиву report:

Здесь непонятно, что в нем. все файлы зашифрованы. Так не должно быть. Добавьте просто в архив всю папку KVRT2020_DATA

Изменено 2 часа назад пользователем safety

[АндрейПеркка]

https://cloud.mail.ru/public/zEkV/r3gb5Vrsm

[safety]

Опять не то.

Папка с отчетами Kaspersky Virus Removal Tool (KVRT) находится по адресу C:\KVRT2020_Data\Report

[АндрейПеркка]

KVRT2020_Data.rar

[safety]

Здесь в отчете только результаты  сканирования сегодня, т.е. уже после очистки скриптом FRST

    <Metadata Version="1" PCID="{B7C1AD1F-114A-ED29-CB0A-D1BA7EB1203A}" LastModification="2025.08.10 17:58:19.261" />

и понятно, что ничего не обнаружено.

С ваших слов вы выполняли проверку после логов FRST но до скриптов очистки.
 

Цитата

 

Thyrex: Запускали проверку на вирусы с помощью Касперского после сбора логов Farbar по правилам?

Вы: Да

 

Вот этот отчет о проверке и нужен. Возможно, вы делали это не с помощью KVRT, а штатным антивирусом, тогда нужен отчет по обнаружениям и сканированию из антивируса Касперского.

Изменено 1 час назад пользователем safety

[АндрейПеркка]

Делал штатным антивирусом Kaspersky 21.22

[safety]

Только что, АндрейПеркка сказал:

Делал штатным антивирусом Kaspersky 21.22

Тогда добавьте отчет по обнаружениям и сканированию из антивируса Касперского.

[АндрейПеркка]

Kaspersky 21.22.rar

[safety]

Опять не то.
 

Цитата

 

Антивирус Касперского предоставляет гибкие возможности для создания и настройки отчетов о сканировании и обнаружении угроз. Вы можете использовать журнал событий или раздел "Отчеты" в настройках приложения для получения необходимой информации. 

 

 

 

Вам надо открыть консоль антивируса, зайти в отчеты, выбрать последний отчет по обнаружениям и сканированию, и сохранить его в текстовый файл. Этот файл нам и нужен. Если он будет большим, заархивируйте его без пароля.

 

Изменено 1 час назад пользователем safety

[АндрейПеркка]

отчет.txt