Перейти к содержанию

Зашифровали Lockbit.HA!MTB

Владислав Николаевич

Автор Владислав Николаевич
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Владислав Николаевич

Владислав Николаевич

Опубликовано
Опубликовано

Сервер и все физические тачки зашифрованы.
Нигде на просторах интернета не нашел дешифратор.
На всех устройствах стоял Kaspersky Endpoint Security, но что-то пошло не так.
В архиве текстовик с телеграммом вредителя и пример файлов, которые зашифрованы.
Друзья, хелп)

Crypt.rar

safety

safety

Опубликовано
Опубликовано (изменено)

Добавьте, пожалуйста, в 2-3 устройств логи FRST

Если было найдено тело шифровальщика, добавьте сэмпл в архиве с паролем virus

Изменено пользователем safety
Владислав Николаевич

Владислав Николаевич

Опубликовано
  • Автор
Опубликовано

Через 2 дня пришлю запрошенную информацию. Прямо сейчас нет возможности.
Не закрывайте пожалуйста эту тему.

safety

safety

Опубликовано
Опубликовано (изменено)

Похоже что раскидали задачу с запуском шифровальщика на все устройства

Защиту KES на локальных устройствах могли предварительно отключить, если получили доступ к консоли управления сервера администрирования.

Task: {E95325D8-1447-428E-8401-7598FC73AC70} - System32\Tasks\1 => C:\a*****o.exe  (No File)

возможно что была еще одна задача, которая копировала данный файл с сетевого ресурса на локальный диск, при подключении устройства к DC.

Не зашифрованными могли остаться только те, кто не подключался к DC.

Обратите внимание на KSC, лучше обновить до актуальной версии.

 

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\YandexBrowser: Restriction <==== ATTENTION
Task: {E95325D8-1447-428E-8401-7598FC73AC70} - System32\Tasks\1 => C:\a***.exe  (No File)
2025-12-21 23:10 - 2025-12-21 23:10 - 000003296 _____ C:\WINDOWS\system32\Tasks\1
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Изменено пользователем safety
Владислав Николаевич

Владислав Николаевич

Опубликовано
  • Автор
Опубликовано

Ок. А файлы расшифруются?

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • FreakaFree
      Шифровальщик .8PbsCcHuo
      Автор FreakaFree
      Добрый день! Словили шифровальщик с расширением .8PbsCcHuo
      Все файлы зашифровало, есть возможность расшифровать?
    • AAS
      Зашифрованы файлы на компьютере. Вымогатель BagIRA. Расширение kRvWxoD5n
      Автор AAS
      На компьютере были зашифрованы файлы. Переписка с вымогателем и зараженные файлы (с незараженными оригиналами) в приложение. 
      Если есть возможность проанализировать шифровку и в идеале сказать как дешифровать - будем БЛАГОДАРНЫ. 
      А так на будущее, для других, что появилась новая группа мошенников - упоминание про них мы не нашли
       
      kRvWxoD5n.README.txt
      зараженные_файлы.zip
    • Yaheni
      Вымогатель BagIRA. Расширение kRvWxoD5n
      Автор Yaheni
      Вымогатель BagIRA. Расширение kRvWxoD5n

      Шифрует абсолютно все файлы, включая .exe бэкапы и БД

       
       
      kRvWxoD5n.README.txt файлы пример.7z Addition.txt FRST.txt
    • RomanNQ
      Добрый день. Словили шифровальщик с расширением .gxj5ip3z2
      Автор RomanNQ
      Прикладываю файл записки и зашифрованный файл. Прошу помочь с идентификацией шифровальщика и возможно с поиском дескриптора.   
      gxj5ip3z2.README.txt Система_контроля_передвижений_и_перемещений_docx_gxj5ip3z2.rar
    • Александр 1190
      Попал шифровальщик на сервер, зашифрованы файлы, просит выкуп CVFJIb2N.README.txt
      Автор Александр 1190
      Добрый день!
       
      16.02.2026
       
      При запуске сервера на рабочем столе отобразилось сообщение LockBit Black. All your important files are stolen and encrypted! You must find CVFJSIb2N.README.txt  и сам открылся этот файл в блокноте с содержанием:
      "Все ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи, так как только у нас есть дешифратор и специальный ключ расшифровки". 
      Для расшифровки файлов просят оплатить услуги по расшифровке. Для получения информации ссылаются на почтовый ящик onlinedecodeallfiles@gmail.com
       
      Какой порядок действий нужно предпринять в данном случае? Как дешифровать файлы? Можно ли использовать антивирус и решит ли это проблему?
      Можно ли связаться со специалистами касперского по телефону для помощи по данному вопросу и по какому контактному номеру?
       
      Спасибо!
×
×
  • Создать...