lockbit v3 black Вирус шифровальщик, помогите расшифровать файлы. Расширение QS4ZtPd2i

[Андрей Салтыков]

Здравствуйте, зашифровали файлы.

Our Telegram for decrypt - @limes853

You can send some small test files to test our decryptor.

You pay a few thousand USDT and we will provide you with a decryptor, detailed information about the cyberattack, backdoor and tips for future protection.Файлы.rar

Сам шифровальщик intel.7z Отчет.rar

[safety]

Записку о выкупе так же добавьте в виде файла. Хотя возможно в вашем случае она не формируется,

тогда добавьте этот файл:

(возможно в нем информация по условиям злоумышленников)

2025-09-15 02:08 - 2025-09-15 00:11 - 000000250 _____ C:\FOR ADMIN.README
 

Добавьте так же отчеты по сканированию в KVRT, достаточно будет папки reports, в архиве, без пароля

2025-09-15 21:27 - 2025-09-15 21:51 - 000000000 ____D C:\KVRT2020_Data

 

DrWeb был установлен на момент шифрования или после установили?
 

Изменено 16 сентября пользователем safety

[Андрей Салтыков]

 В файле только текст: 

Our Telegram for decrypt - @limes853

You can send some small test files to test our decryptor.

You pay a few thousand USDT and we will provide you with a decryptor, detailed information about the cyberattack, backdoor and tips for future protection.

DrWeb был

KVRT2020_Data.rar

[safety]

13 минут назад, Андрей Салтыков сказал:

В файле только текст: 

Ясно.

Судя по тому что KVRT нашел в корзине сэмпл шифровальщика

<Event2 Action="Detect" Time="134024275544256319" Object="C:\$Recycle.Bin\S-1-5-21-130341685-3487650523-3890133209-1410\$RP16CU3.exe111" Info="HEUR:Trojan-Ransom.Win32.Generic" />
Drweb по идее тоже должен был его детектировать.

(пока нет возможности выполнить анализ сэмпла, сделаю во второй половине дня, хотя анализ не поможет расшифровать файлы)

Что произошло? Была отключена защита? Это единственный ПК который у вас пострадал, или зашифрованы и другие узлы в ЛС?     

+

проверьте ЛС.      

 

Изменено 16 сентября пользователем safety

[Андрей Салтыков]

Была включена. зашифрованы и другие узла. Drweb тоже стоял. сэмпл шифровальщика приложен в 1 сообщении 

[safety]

4 минуты назад, Андрей Салтыков сказал:

Была включена. зашифрованы и другие узла. Drweb тоже стоял. сэмпл шифровальщика приложен в 1 сообщении 

Странно что не было детекта.

Сэмпл видел в архиве, стандартный размер.

Сэмпл стандартный, он детектируется в течение 2 лет. Консоль управления антивирусными агентами есть у вас? Есть инфо в консоли по детектам на узлах, или по отключению защиты? Не проверяли?

Изменено 16 сентября пользователем safety

[Андрей Салтыков]

При открытие этого файла детек срабатывает. Детектов не было или не успели увидит. Шифрование было ночью