lockbit v3 black Нужна помощь в расшифровке. upyVegTmW

[Akva]

Добрый день,  в домене зашифрованы файлы .

Расширение файла upyVegTmW. 

Решения от 

https://noransom.kaspersky.com/ru/

не помогают

Примеры шифрованных файлов и требований во вложении

 

 

Согласно https://www.nomoreransom.org/crypto-sheriff.php?lang=ru

получаем приписку

" Возможно, Вы были заражены "Lockbit 3.0" или "BlackBasta".

 

 

 

Может ли компания Касперского помочь с дешифровкой, есть ли у Вас такая услуга?

 

 

 

upyVegTmW.zip

[thyrex]

Здравствуйте.

 

Выполните Правила оформления запроса о помощи

Прикрепите все необходимое к следующему сообщению в текущей теме, не созавая новой темы.

[Akva]

Во вложении 

 логи анализа системы при помощи Farbar Recovery Scan Tool

 

Arhiv_log.7z

Изменено 30 августа пользователем Akva

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-08-30 02:22 - 2025-08-30 01:35 - 000148480 _____ C:\ProgramData\efs.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[Akva]

Во вложении архив логов, и ещё пара шифрованныQuarantine.7zFixlog.txtх файлов

[safety]

Да, это Lockbit V3 Black:

Цитата

decryption id: "0FE607AEA30B91AC"
ransom ext: ".upyVegTmW"
ransom note name: "upyVegTmW.README.txt"

 

Проверьте ЛС.

--------------

 

С расшифровкой файлов по данному типу не сможем помочь без приватного ключа.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 31 августа пользователем safety

[Андрей45]

Добрый день

 

 в продолжении, я сотрудник этой же компании.

 

Ниже две ссылки
1. Файл образа диска. ссылку отпрвлю в лс, напишите мне пожалуйста, не могу

Это , якобы,  расшифрованный проблемный диск. Ранее у него было двойное  расширение (upyVegTmW.upyVegTmW) и файл не поменял расширение. Мы поменяли его в ручную на VHD и прогоняли черещ Р-студио , но данные внутри частично повреждены. Возможно диск был зашифрован два раза.

2. В данной папке декриптор и примеры зашифрованных и расшифрованных файлов. расширение upyVegTmW применяется 1 раз.
ссылку пришлю в лс.

Вопрос
Можно ли расшифровать до конца файл образа диска? или нет. Мы получили дешифратор, но как будто диск зашифровался два раза.  Через р студио часть данных битые.

 

Изменено 3 сентября пользователем Андрей45

[safety]

@Андрей45,

создайте новую тему в данном разделе, не пишите в чужой теме, это запрещено  правилами форума.

добавьте в ваше сообщение примеры зашифрованных файлов и декриптор в архиве с паролем virus.

 

Изменено 4 сентября пользователем safety