lockbit v3 black Поймал шифровальщика предположительно с какого-то сайта с техническими статьями

[Intel_agent]

День добрый. Поймал шифровальщика предположительно с какого-то сайта с техническими статьями и схемами. Адрес начинается с dig дальше не помню.

Вначале были блокировки рабочего стола, типа смены пользователя, а после отработал шифровальщик. Самого шифровальщика найти не получилось.

Очень нужна помощь.

FRST.txt Addition.txt E.7z

[safety]

Если систему сканировали штатным антивирусом, KVRT, или Cureit добавьте отчеты по сканированию, в архиве, без пароля.

Посмотрите в истории браузера, найдите сайты откуда могли предположительно скачать файл шифровальщика.

[Intel_agent]

Каспером просканил, результат прикреплен. Нашел какую-то бяку

Браузер не запускается, если получится как то найти сайт отправлю дополнительно

 

KVRT.7z

[safety]

Обнаружение скорее всего не имеет отношение к шифровальщику.

 

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
AlternateDataStreams: C:\ProgramData\TEMP:5B4BB726 [102]
AlternateDataStreams: C:\ProgramData\TEMP:C7A9BA7F [135]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
U4 npcap_wifi; отсутствует ImagePath
S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[Intel_agent]

Выполнено

Fixlog.txt

[safety]

Проверьте ЛС.

[Intel_agent]

Наконец-то сделал на втором

На рабочем столе нашлись папка и файлы, которых там не было, с трояном Mimikatz

FRST.txt Addition.txt KVRT2020_Data.7z file.7z

 

Нашел адрес страницы откуда предположительно прилетело.

ссылка.txt

Изменено 15 декабря, 2025 пользователем Intel_agent
Дополнение

[safety]

Это файл шифровальщика.

   <Event10 Action="Detect" Time="134102713581957278" Object="C:\Users\Root\Documents\LB3.exe" Info="HEUR:Trojan-Ransom.Win32.Generic" />

Пробуйте его восстановить из карантина, заарживируйте файл с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС. Затем файл можно удалить.

Изменено 15 декабря, 2025 пользователем safety

[safety]

Да, этим файлом было выполнено шифрование.

 

ransom ext: ".QowO2p9ZM"
ransom note name: "QowO2p9ZM.README.txt"

 

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 16 декабря, 2025 пользователем safety

[Intel_agent]

Печально конечно, но все равно спасибо за помощь