lockbit v3 black Шифровальщик LockBit Black Ransomware

27 сентября

Добрый день! Просим Вашей помощи в возможности расшифровки файлов. FRST запускался к сожалению уже после проверки системой через KVRT - тот нашёл и вычистил потенциального зловреда (во вложении).

FRST.txt unity.zip Addition.txt

decrypted_files.zip

Изменено 27 сентября пользователем Rival

27 сентября

пароль какой к архиву unity.zip? пришлось подбирать. 12345678

+ добавьте отчеты о сканирования из каталога reports в данной папке.

2025-09-27 10:42 - 2025-09-27 10:57 - 000000000 ____D C:\KVRT2020_Data

+ этот файл

2025-09-27 00:10 - 2025-09-26 23:36 - 000001420 _____ C:\FOR_DECRYPT.ini

Изменено 28 сентября пользователем safety

28 сентября

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\RunOnce: [2c414fab-12c8-4c12-914d-bf9b89273dfb] => "C:\Users\CNTLAD~1\AppData\Local\Temp\{e4c1f3ce-a784-40ed-862d-b29782bce720}\2c414fab-12c8-4c12-914d-bf9b89273dfb.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-09-27 10:48 - 2025-09-27 10:48 - 000094689 _____ C:\Users\CNTLAdmin\Desktop\unity.zip
2025-09-27 00:09 - 2025-09-26 23:36 - 000001420 _____ C:\Users\CNTLAdmin\Desktop\FOR_DECRYPT.ini
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

28 сентября

15 часов назад, safety сказал:

пароль какой к архиву unity.zip? пришлось подбирать. 12345678

+ добавьте отчеты о сканирования из каталога reports в данной папке.

2025-09-27 10:42 - 2025-09-27 10:57 - 000000000 ____D C:\KVRT2020_Data

+ этот файл

2025-09-27 00:10 - 2025-09-26 23:36 - 000001420 _____ C:\FOR_DECRYPT.ini

3 часа назад, safety сказал:
По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы
Start::
HKLM\...\RunOnce: [2c414fab-12c8-4c12-914d-bf9b89273dfb] => "C:\Users\CNTLAD~1\AppData\Local\Temp\{e4c1f3ce-a784-40ed-862d-b29782bce720}\2c414fab-12c8-4c12-914d-bf9b89273dfb.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-09-27 10:48 - 2025-09-27 10:48 - 000094689 _____ C:\Users\CNTLAdmin\Desktop\unity.zip
2025-09-27 00:09 - 2025-09-26 23:36 - 000001420 _____ C:\Users\CNTLAdmin\Desktop\FOR_DECRYPT.ini
Reboot::
End::
После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Прошу прощение, не тот архив выложил. Отчёт KVRT и манифест во вложении.

15 часов назад, safety сказал:

пароль какой к архиву unity.zip? пришлось подбирать. 12345678

+ добавьте отчеты о сканирования из каталога reports в данной папке.

2025-09-27 10:42 - 2025-09-27 10:57 - 000000000 ____D C:\KVRT2020_Data

+ этот файл

2025-09-27 00:10 - 2025-09-26 23:36 - 000001420 _____ C:\FOR_DECRYPT.ini

FOR_DECRYPT.zip report_2025.09.27_10.42.38.klr.zip

28 сентября

FOR_DECRYPT.ini - это записка о выкупе,

записка типа WVdqjEe0Q.README.txt не формируется, есть такая возможность в параметрах шифрования.

Да, unity нашелся в KVRT

Цитата

<Event2 Action="Detect" Time="134034326753259657" Object="C:\Users\***Admin\Desktop\unity.exe" Info="HEUR:Trojan-Ransom.Win32.Generic" />

<Event8 Action="Quarantined" Time="134034329675279355" Object="C:\Users\***Admin\Desktop\unity.exe" Info="" />

Проверьте ЛС.

Изменено 28 сентября пользователем safety

lockbit v3 black Шифровальщик LockBit Black Ransomware

Рекомендуемые сообщения

Rival

safety

safety

Rival

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum