lockbit v3 black Поймали вчера вечером шифровальщик

[Zakhar05]

Добрый день! Поймали (или ктото принес) шифровальщик, формат .FonOu4Mso.

Текст письма:

ВНИМАНИЕ!

----------------------------
| Что случилось?
----------------------------

Все ваши файлы, документы, фотографии, базы данных и другие данные зашифрованы надежными алгоритмами.
Сейчас вы не можете получить доступ к файлам. Но не волнуйтесь. У вас есть шанс! Их легко восстановить, выполнив несколько шагов.

----------------------------
| Как мне вернуть мои файлы?
----------------------------

Единственный способ восстановить ваши файлы — приобрести уникальный приватный ключ, который надёжно хранится на наших серверах.
Чтобы связаться с нами и приобрести ключ, напишите нам в мессенджер TOX.

Инструкция:

1) Скачать и установить мессенджер TOX - https://tox.chat/download.html
2) Добавить нас в контакты, наш TOX ID - ECA7D8C2ECDF498A2F4E375BA17FE6341DE638A7A8DEC4F826061187DF901B277665A2B9A0E3
3) После того как мы авторизируем ваш контакт, отправьте нам этот ID - ****

----------------------------
| Что по поводу гарантий?
----------------------------

Мы понимаем ваш стресс и беспокойство.
Поэтому у вас есть БЕСПЛАТНАЯ возможность протестировать услугу, мгновенно расшифровав бесплатно три файла на вашем компьютере!
Пишите по любым вопросам, наша поддержка вам тут же ответит, и поможет.

С любовью, BELUGA Ransomware Team

 

Зашифрованный файл и логи FRST прилагаю.

Addition.txt FRST.txt product797.zip

Изменено 5 декабря, 2025 пользователем safety

[safety]

Файл *.zip перезалейте, возможно что был поврежден при загрузке. пробуйте добавить в rar формат.

[Zakhar05]

product797.zip.rar

[safety]

Шифрование когда произошло? Свежее, или месяц назад?

2025-11-05 23:46 - 2025-02-26 05:22 - 000047104 _____ () C:\Users\web1\Documents\accounts.exe
2025-11-05 23:46 - 2020-06-29 01:40 - 000029184 _____ () C:\Users\web1\Documents\AR.exe
Это ваши файлы?

Добавьте так же записку о выкупе + несколько зашифрованных файлов в архиве, без пароля

 

 

Изменено 4 декабря, 2025 пользователем safety

[Zakhar05]

файлы скорее всего пользователя RDP.

До вчерашнего дня все работало, после 9 вечера по мск вчера пошла проблема.

[safety]

Добавьте так же лог сканирования Cureit, если запускали проверку. В архиве без пароля.

2025-12-04 10:49 - 2025-12-04 10:50 - 279949664 _____ C:\Users\Администратор\Downloads\drweb-cureit.exe

 

Эти файлы не удаляйте, заархивируйте с паролем virus, архив загрузите на облачный диск, дайте ссылку на скачивание здесь.

2025-11-05 23:46 - 2025-02-26 05:22 - 000047104 _____ () C:\Users\web1\Documents\accounts.exe
2025-11-05 23:46 - 2020-06-29 01:40 - 000029184 _____ () C:\Users\web1\Documents\AR.exe

4 минуты назад, Zakhar05 сказал:

До вчерашнего дня все работало, после 9 вечера по мск вчера пошла проблема.

судя по логам, а, шифрование началось вчера, вечером.

2025-11-05 23:40 - 2025-12-03 20:15 - 347759205 _____ C:\Users\web1\Documents\RU pass 26.10.25.txt.FonOu4Mso
 

Изменено 4 декабря, 2025 пользователем safety

[Zakhar05]

cureit.rar

 

 

https://cloud.mail.ru/public/iFmD/2EYLD56VK пароль virus

 

 

 

.

 

насколько все печально?

Изменено 15 декабря, 2025 пользователем safety

[safety]

Cureit похоже ничего не нашел

Total 12302892066 bytes in 28137 files scanned (30437 objects)
Total 28278 files (30437 objects) are clean
There are no infected objects detecte
Scan time is 00:04:18.887

 

Здесь я вижу только одного пользователя шифровало

2025-12-03 20:15 - 2025-12-03 20:15 - 000002044 _____ C:\Users\web1\FonOu4Mso.README.txt

Может у него папка ыла расшарена, а запуск был на другом устройстве?

 

Записку о выкупе добавьте в виде файла, без изменения имени файла

[safety]

4 часа назад, safety сказал:

2025-11-05 23:46 - 2020-06-29 01:40 - 000029184 _____ () C:\Users\web1\Documents\AR.exe

https://www.virustotal.com/gui/file/6e95adda5f24fdf805ad10ae70069484def3d47419db5503f2c44b130eedf591/detection

 

4 часа назад, safety сказал:

2025-11-05 23:46 - 2025-02-26 05:22 - 000047104 _____ () C:\Users\web1\Documents\accounts.exe

https://www.virustotal.com/gui/file/8b56555e8160afd0d17bcadd44f6f65345a8c5bb565247ed5859363814806b4b?nocache=1

 

брутеры зачем то хранятся в папке этого пользователя. На нем же и шифрование произошло.

 

Само шифрование, скорее всего выполнено с помощью LockbitV3Black, хотя сэмпла у нас нет.

+

проверьте ЛС

Изменено 4 декабря, 2025 пользователем safety

[Zakhar05]

записка с требованием

FonOu4Mso.README.txt

[safety]

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);