lockbit v3 black Шифровальщик

[fastheel]

Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7

Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip

[safety]

Эти файлы  добавьте, пожалуйста, в один архив с паролем virus:

2025-08-19 09:30 - 2025-08-19 09:30 - 000145005 _____ C:\Users\Администратор\Documents\update.zip

2025-08-16 16:34 - 2025-08-16 16:34 - 000146944 _____ C:\Users\Администратор\Documents\update.exe

Добавьте архив в ваше сообщение.

 

покажите что в этих папках:

2025-08-19 09:29 - 2025-08-19 09:29 - 000000000 ____D C:\Users\Администратор\Documents\update

2025-08-19 11:42 - 2025-08-19 11:42 - 000000000 ____D C:\Users\Администратор\Documents\update1

 

Если систему сканировали KVRT или Cureit (судя по логам FRST) добавьте логи сканирования в архиве без пароля.

 

PRO32 установили после шифрования, или на момент шифрования был установлен?

PRO32 Endpoint Security (HKLM-x32\...\{E96E7EF3-8193-425A-94D2-5F46F82EDB01}) (Version: 4.4.0.20 - K7 Computing Pvt Ltd)

 

Изменено 20 августа пользователем safety

[fastheel]

pro 32 был до но не работал уже давно

в папках я пытался декомпилировать exe
пароль на архив virus

Documents.7z

[safety]

Судя по детекту на VT это Lockbit V3 Black:

ESET-NOD32 A Variant Of Win32/Filecoder.BlackMatter.K

https://www.virustotal.com/gui/file/1b3e5489e8694c102fd4483462127089d6586aadd5afe7a25de9c8659326cb37/detection

Сэмпл защищен паролем.

update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7

Пароль можно снять. Пароль правильный:

Цитата

 

ecryption id: "A9476DD5A1688B8D"

ransom ext: ".u4IHZAluh"
ransom note name: "u4IHZAluh.README.txt"

"note": "\r\n            \r\n\t\t\t\t\t\t~~~~~~~~ RANSOMHub ~~~~~~~~\r\n\r\n>>>> What happened? \r\n\r\n\tYour data - NAS, ESXi, HyperV, mailboxes,

 

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 20 августа пользователем safety