lockbit v3 black Lockbit с отложенным стартом

[imanushkin]

24 октября потерял один комп с данными, затер полностью, но не учел тот факт что на компе были сохранены данные для входа в RDP.

Вчера, 27.11 вирус шифровальщик запустился вновь, только уже в терминальной сессии пожрал там часть файлов к которым смог дотянуться, в том числе и сетевую шару примонтированную как сетевой диск. Теневые копии не сработали.

Оставил послание, файл прикладываю.

 

Файлы шифровальщика NS.exe, svchost.exe и wlan.exe по понятным причинам загрузить не могу.

2E2h79m6S.README.txt Зашифрованные.rar

[imanushkin]

Отчет KVRT

 

KVRT2020_Data.zip

[safety]

Цитата

24 октября потерял один комп с данными, затер полностью

Не обращались к нам на форум?

 

Цитата

Вчера, 27.11 вирус шифровальщик запустился вновь

Прежнее шифрование от 24.10 было с этим же расширением, или с другим?

 

Цитата

Файлы шифровальщика NS.exe, svchost.exe и wlan.exe по понятным причинам загрузить не могу.

Добавьте в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание здесь.

 

Судя по логу  KVRT ничего не нашел.

 

Цитата

<Report>
    <Metadata Version="1" PCID="{9AC3BD90-77A0-5C62-5C1C-75689103B905}" LastModification="2025.11.28 14:23:47.474" />
    <EventBlocks>
        <Block0 Type="Scan" Processed="18564" Found="0" Neutralized="0">
            <Event0 Action="Scan" Time="134087871519136031" Object="" Info="Started" />
            <Event1 Action="Scan" Time="134087879719531575" Object="" Info="Finished" />
        </Block0>
    </EventBlocks>
</Report>

 

Добавьте так же логи FRST. сделанные в зашифрованной системе.

 

Изменено 28 ноября пользователем safety

[imanushkin]

20 минут назад, safety сказал:

Прежнее шифрование от 24.10 было с этим же расширением, или с другим?

Текст был такой же, расширение файлов не запомнил, там была простая машина которая практически без потери восстановилась

 

20 минут назад, safety сказал:

Добавьте в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание здесь.

файл загружен, ссылка удалена.

 

20 минут назад, safety сказал:

Не обращались к нам на форум?

Нет, насколько я понял вымогатели активно пользуются форумом.

Изменено 28 ноября пользователем safety
файл загружен, ссылка удалена.

[safety]

Файлы из архива проверю чуть позже.

Возможно, что кто-то из злоумышленников мониторят сообщения на форуме, но доступа к вашим файлам у них нет.

Возможно, что если бы вы обратились бы в октябре, не было бы ноябрьского шифрования.

Жду от вас логи FRST для проверки.

Изменено 28 ноября пользователем safety

[imanushkin]

Прикладываю FRST.log, увидел там только Task которая запускает wlan.exe из приложенных

 

FRST.rar

[safety]

а svchost.exe откуда взяли? из  папки startup?

 

Этот файл  wlan.exe загрузите на vuristotal.com для проверки и дайте ссылку на результат проверки.

------------

чуть позже вернусь в тему.

Изменено 28 ноября пользователем safety

[imanushkin]

svchost.exe лежал рядом с wlan.exe, а ini файл в C:\Windows\temp

https://www.virustotal.com/gui/file/75692c48dfef4f8939903b1fb697ceae3d84935c35b3c01f4804cdc955ca04a2

ns.exe

https://www.virustotal.com/gui/file/f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

wlan.exe

https://www.virustotal.com/gui/file/f552afb512201777beabe1406263fb23a3618e343882f925db808d35056a5825

[safety]

wlan.exe, скорее всего прилетел через вложение в почте (с иконой xlsx документа), после запуска была создана задача, с какой периодичностью он запускался, это надо смотреть в самой задаче, что там прописано.

Скорее всего это бэкдор, который после запуска предоставлял удаленный доступ к данному устройству.

svchost.exe - файл шифровальщика, защищенный Themida

ns.exe - это сетевой сканер.

---------

По очистке системы:

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Task: {10D84B3C-A3AE-49E0-8792-41ADC760E081} - System32\Tasks\wlan => C:\Users\shosse143\AppData\Roaming\wlan.exe  (Нет файла) <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Изменено 29 ноября пользователем safety

[safety]

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);