lockbit v3 black Поймали вчера вечером шифровальщик

Четверг в 08:30

Добрый день! Поймали (или ктото принес) шифровальщик, формат .FonOu4Mso.

Текст письма:

ВНИМАНИЕ!

----------------------------
| Что случилось?
----------------------------

Все ваши файлы, документы, фотографии, базы данных и другие данные зашифрованы надежными алгоритмами.
Сейчас вы не можете получить доступ к файлам. Но не волнуйтесь. У вас есть шанс! Их легко восстановить, выполнив несколько шагов.

----------------------------
| Как мне вернуть мои файлы?
----------------------------

Единственный способ восстановить ваши файлы — приобрести уникальный приватный ключ, который надёжно хранится на наших серверах.
Чтобы связаться с нами и приобрести ключ, напишите нам в мессенджер TOX.

Инструкция:

1) Скачать и установить мессенджер TOX - https://tox.chat/download.html
2) Добавить нас в контакты, наш TOX ID - ECA7D8C2ECDF498A2F4E375BA17FE6341DE638A7A8DEC4F826061187DF901B277665A2B9A0E3
3) После того как мы авторизируем ваш контакт, отправьте нам этот ID - ****

----------------------------
| Что по поводу гарантий?
----------------------------

Мы понимаем ваш стресс и беспокойство.
Поэтому у вас есть БЕСПЛАТНАЯ возможность протестировать услугу, мгновенно расшифровав бесплатно три файла на вашем компьютере!
Пишите по любым вопросам, наша поддержка вам тут же ответит, и поможет.

С любовью, BELUGA Ransomware Team

Зашифрованный файл и логи FRST прилагаю.

Addition.txt FRST.txt product797.zip

Изменено Пятница в 04:22 пользователем safety

Четверг в 08:37

Файл *.zip перезалейте, возможно что был поврежден при загрузке. пробуйте добавить в rar формат.

Четверг в 08:39

product797.zip.rar

Четверг в 08:41

Шифрование когда произошло? Свежее, или месяц назад?

2025-11-05 23:46 - 2025-02-26 05:22 - 000047104 _____ () C:\Users\web1\Documents\accounts.exe
2025-11-05 23:46 - 2020-06-29 01:40 - 000029184 _____ () C:\Users\web1\Documents\AR.exe
Это ваши файлы?

Добавьте так же записку о выкупе + несколько зашифрованных файлов в архиве, без пароля

Изменено Четверг в 08:44 пользователем safety

Четверг в 08:44

файлы скорее всего пользователя RDP.

До вчерашнего дня все работало, после 9 вечера по мск вчера пошла проблема.

Четверг в 08:45

Добавьте так же лог сканирования Cureit, если запускали проверку. В архиве без пароля.

2025-12-04 10:49 - 2025-12-04 10:50 - 279949664 _____ C:\Users\Администратор\Downloads\drweb-cureit.exe

Эти файлы не удаляйте, заархивируйте с паролем virus, архив загрузите на облачный диск, дайте ссылку на скачивание здесь.

2025-11-05 23:46 - 2025-02-26 05:22 - 000047104 _____ () C:\Users\web1\Documents\accounts.exe
2025-11-05 23:46 - 2020-06-29 01:40 - 000029184 _____ () C:\Users\web1\Documents\AR.exe

4 минуты назад, Zakhar05 сказал:

До вчерашнего дня все работало, после 9 вечера по мск вчера пошла проблема.

судя по логам, а, шифрование началось вчера, вечером.

2025-11-05 23:40 - 2025-12-03 20:15 - 347759205 _____ C:\Users\web1\Documents\RU pass 26.10.25.txt.FonOu4Mso

Изменено Четверг в 08:46 пользователем safety

Четверг в 10:01

cureit.rar

https://cloud.mail.ru/public/iFmD/2EYLD56VK пароль virus

вот что написали в чате эти нелюди:

[13:59:19] BELUGA: добрый день. прайс для вашей сети 800$.
оплату принмаем в Bitcoin.
после оплаты вы получите -
софт для декрипта всех файлов, на всех устройствах.
информацию о том как мы попали к вам в сеть.
рекомендации как обезопасить вашу сеть.
[13:59:26] BELUGA: можете отправить 2-3 файла, без важной информации, сделаем тестовый декрипт, докажем что можем вернуть ваши файлы.

.

насколько все печально?

Четверг в 12:45

Cureit похоже ничего не нашел

Total 12302892066 bytes in 28137 files scanned (30437 objects)
Total 28278 files (30437 objects) are clean
There are no infected objects detecte
Scan time is 00:04:18.887

Здесь я вижу только одного пользователя шифровало

2025-12-03 20:15 - 2025-12-03 20:15 - 000002044 _____ C:\Users\web1\FonOu4Mso.README.txt

Может у него папка ыла расшарена, а запуск был на другом устройстве?

Записку о выкупе добавьте в виде файла, без изменения имени файла

Четверг в 13:34

4 часа назад, safety сказал:

2025-11-05 23:46 - 2020-06-29 01:40 - 000029184 _____ () C:\Users\web1\Documents\AR.exe

https://www.virustotal.com/gui/file/6e95adda5f24fdf805ad10ae70069484def3d47419db5503f2c44b130eedf591/detection

4 часа назад, safety сказал:

2025-11-05 23:46 - 2025-02-26 05:22 - 000047104 _____ () C:\Users\web1\Documents\accounts.exe

https://www.virustotal.com/gui/file/8b56555e8160afd0d17bcadd44f6f65345a8c5bb565247ed5859363814806b4b?nocache=1

брутеры зачем то хранятся в папке этого пользователя. На нем же и шифрование произошло.

Само шифрование, скорее всего выполнено с помощью LockbitV3Black, хотя сэмпла у нас нет.

+

проверьте ЛС

Изменено Четверг в 13:36 пользователем safety

lockbit v3 black Поймали вчера вечером шифровальщик

Рекомендуемые сообщения

Zakhar05

safety

Zakhar05

safety

Zakhar05

safety

Zakhar05

safety

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum