Перейти к содержанию
Интервью с экспертом: задай вопрос Лере Прокопенко, системному аналитику Kaspersky eSIM Store

Шифровальщик LockBit Black Ransomware

Rival
 Поделиться

Рекомендуемые сообщения

Rival

Rival

Опубликовано
Опубликовано (изменено)

Добрый день! Просим Вашей помощи в возможности расшифровки файлов. FRST запускался к сожалению уже после проверки системой через KVRT - тот нашёл и вычистил потенциального зловреда (во вложении).

FRST.txt unity.zip Addition.txt

decrypted_files.zip

Изменено пользователем Rival
safety

safety

Опубликовано
Опубликовано (изменено)

пароль какой к архиву unity.zip? пришлось подбирать. 12345678

 

image.png

 

+ добавьте отчеты о сканирования из каталога reports в данной папке.

2025-09-27 10:42 - 2025-09-27 10:57 - 000000000 ____D C:\KVRT2020_Data

+ этот файл

2025-09-27 00:10 - 2025-09-26 23:36 - 000001420 _____ C:\FOR_DECRYPT.ini

 

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\RunOnce: [2c414fab-12c8-4c12-914d-bf9b89273dfb] => "C:\Users\CNTLAD~1\AppData\Local\Temp\{e4c1f3ce-a784-40ed-862d-b29782bce720}\2c414fab-12c8-4c12-914d-bf9b89273dfb.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-09-27 10:48 - 2025-09-27 10:48 - 000094689 _____ C:\Users\CNTLAdmin\Desktop\unity.zip
2025-09-27 00:09 - 2025-09-26 23:36 - 000001420 _____ C:\Users\CNTLAdmin\Desktop\FOR_DECRYPT.ini
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Rival

Rival

Опубликовано
  • Автор
Опубликовано
15 часов назад, safety сказал:

пароль какой к архиву unity.zip? пришлось подбирать. 12345678

 

image.png

 

+ добавьте отчеты о сканирования из каталога reports в данной папке.

2025-09-27 10:42 - 2025-09-27 10:57 - 000000000 ____D C:\KVRT2020_Data

+ этот файл

2025-09-27 00:10 - 2025-09-26 23:36 - 000001420 _____ C:\FOR_DECRYPT.ini

 

 

3 часа назад, safety сказал:

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\RunOnce: [2c414fab-12c8-4c12-914d-bf9b89273dfb] => "C:\Users\CNTLAD~1\AppData\Local\Temp\{e4c1f3ce-a784-40ed-862d-b29782bce720}\2c414fab-12c8-4c12-914d-bf9b89273dfb.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-09-27 10:48 - 2025-09-27 10:48 - 000094689 _____ C:\Users\CNTLAdmin\Desktop\unity.zip
2025-09-27 00:09 - 2025-09-26 23:36 - 000001420 _____ C:\Users\CNTLAdmin\Desktop\FOR_DECRYPT.ini
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Прошу прощение, не тот архив выложил. Отчёт KVRT и манифест во вложении.

15 часов назад, safety сказал:

пароль какой к архиву unity.zip? пришлось подбирать. 12345678

 

image.png

 

+ добавьте отчеты о сканирования из каталога reports в данной папке.

2025-09-27 10:42 - 2025-09-27 10:57 - 000000000 ____D C:\KVRT2020_Data

+ этот файл

2025-09-27 00:10 - 2025-09-26 23:36 - 000001420 _____ C:\FOR_DECRYPT.ini

 

 

 

FOR_DECRYPT.zip report_2025.09.27_10.42.38.klr.zip

safety

safety

Опубликовано
Опубликовано (изменено)

FOR_DECRYPT.ini - это записка о выкупе,

записка типа WVdqjEe0Q.README.txt не формируется, есть такая возможность в параметрах шифрования.

 

Да, unity нашелся в KVRT

Цитата

            <Event2 Action="Detect" Time="134034326753259657" Object="C:\Users\***Admin\Desktop\unity.exe" Info="HEUR:Trojan-Ransom.Win32.Generic" />

            <Event8 Action="Quarantined" Time="134034329675279355" Object="C:\Users\***Admin\Desktop\unity.exe" Info="" />

Проверьте ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ghostman
      помогите расшифровать данные
      Автор ghostman
      Добрый день.
      Вирус-шифровальщик все файлы зашифровал. В конце каждого файла расширение .m6i7V6Glr .Прикладываю содержимое файла-требования его имя m6i7V6Glr.README.txt .
       

       
      Не могу понять, чем зашифрованы файлы и как их расшифровать. Crypto sheriff показывает что это "Lockbit 3.0" или"BlackBasta", но локбит утилита не может проверить по ID так как требуется 16 символов, а в файле-требовании ID какой-то странный и он 15 символов всего. А для блекбаста вообще ничего не смог найти.
      Могу приложить несколько зашифрованных файлов, если это потребуется.
    • Macitraser
      Словил вирус шифровальщик
      Автор Macitraser
      Коллеа словила вирус шифровальшик на рабочем пк. Файлы логов Farbar и архим с примерами файлови письмом мошенников прилоагаю
      Файлы.rar Addition.txt FRST.txt
    • Zolmac
      Шифровальщик
      Автор Zolmac
      Словили шифровальщик. Сам файл с вирусом во вложении.
      Подскажите пожалуйста, может можно чем-то дешифровать? Заранее благодаре за ответ.
      Пароль от архива virus
      virus.zip
      Требование о выкупе:
      v9MPYqC5I.README.txt
      Пардон, не в ту ветку тему создал. Просьба переместить, если есть возможность в Помощь в борьбе с шифровальщиками-вымогателями
       
    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день и вновь беда но уже на другой инфраструктуре. Прошу помощи. Прилагаю зашифрованый и расшифрованный злоумышленниками файлы. И логи анализа системы
      Addition (1).txt FRST (1).txt ADinfo2MSSQL_comps.rar Зашифрованый и расшифрованный фалй.zip
    • Ilya K
      Помогите расшифровать файлы
      Автор Ilya K
      Здравствуйте, помогите пожалуйста определить шифровальщик и расшифровать файлы. 
      Есть архив с файлами вирусов/шифровальщик. Логи с одного из серверов прикладываю. Есть зашифрованный и не зашифрованный оригинальный файл. 
      logs.zip
×
×
  • Создать...