lockbit v3 black Шифровальщик LockBit Black Ransomware

20 часов назад

Добрый день! Просим Вашей помощи в возможности расшифровки файлов. FRST запускался к сожалению уже после проверки системой через KVRT - тот нашёл и вычистил потенциального зловреда (во вложении).

FRST.txt unity.zip Addition.txt

decrypted_files.zip

Изменено 20 часов назад пользователем Rival

18 часов назад

пароль какой к архиву unity.zip? пришлось подбирать. 12345678

+ добавьте отчеты о сканирования из каталога reports в данной папке.

2025-09-27 10:42 - 2025-09-27 10:57 - 000000000 ____D C:\KVRT2020_Data

+ этот файл

2025-09-27 00:10 - 2025-09-26 23:36 - 000001420 _____ C:\FOR_DECRYPT.ini

Изменено 8 часов назад пользователем safety

7 часов назад

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\RunOnce: [2c414fab-12c8-4c12-914d-bf9b89273dfb] => "C:\Users\CNTLAD~1\AppData\Local\Temp\{e4c1f3ce-a784-40ed-862d-b29782bce720}\2c414fab-12c8-4c12-914d-bf9b89273dfb.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-09-27 10:48 - 2025-09-27 10:48 - 000094689 _____ C:\Users\CNTLAdmin\Desktop\unity.zip
2025-09-27 00:09 - 2025-09-26 23:36 - 000001420 _____ C:\Users\CNTLAdmin\Desktop\FOR_DECRYPT.ini
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

3 часа назад

15 часов назад, safety сказал:

пароль какой к архиву unity.zip? пришлось подбирать. 12345678

+ добавьте отчеты о сканирования из каталога reports в данной папке.

2025-09-27 10:42 - 2025-09-27 10:57 - 000000000 ____D C:\KVRT2020_Data

+ этот файл

2025-09-27 00:10 - 2025-09-26 23:36 - 000001420 _____ C:\FOR_DECRYPT.ini

3 часа назад, safety сказал:
По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы
Start::
HKLM\...\RunOnce: [2c414fab-12c8-4c12-914d-bf9b89273dfb] => "C:\Users\CNTLAD~1\AppData\Local\Temp\{e4c1f3ce-a784-40ed-862d-b29782bce720}\2c414fab-12c8-4c12-914d-bf9b89273dfb.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-09-27 10:48 - 2025-09-27 10:48 - 000094689 _____ C:\Users\CNTLAdmin\Desktop\unity.zip
2025-09-27 00:09 - 2025-09-26 23:36 - 000001420 _____ C:\Users\CNTLAdmin\Desktop\FOR_DECRYPT.ini
Reboot::
End::
После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Прошу прощение, не тот архив выложил. Отчёт KVRT и манифест во вложении.

15 часов назад, safety сказал:

пароль какой к архиву unity.zip? пришлось подбирать. 12345678

+ добавьте отчеты о сканирования из каталога reports в данной папке.

2025-09-27 10:42 - 2025-09-27 10:57 - 000000000 ____D C:\KVRT2020_Data

+ этот файл

2025-09-27 00:10 - 2025-09-26 23:36 - 000001420 _____ C:\FOR_DECRYPT.ini

FOR_DECRYPT.zip report_2025.09.27_10.42.38.klr.zip

3 часа назад

FOR_DECRYPT.ini - это записка о выкупе,

записка типа WVdqjEe0Q.README.txt не формируется, есть такая возможность в параметрах шифрования.

Да, unity нашелся в KVRT

Цитата

<Event2 Action="Detect" Time="134034326753259657" Object="C:\Users\***Admin\Desktop\unity.exe" Info="HEUR:Trojan-Ransom.Win32.Generic" />

<Event8 Action="Quarantined" Time="134034329675279355" Object="C:\Users\***Admin\Desktop\unity.exe" Info="" />

Проверьте ЛС.

Изменено 3 часа назад пользователем safety

lockbit v3 black Шифровальщик LockBit Black Ransomware

Рекомендуемые сообщения

Rival

safety

safety

Rival

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum