lockbit v3 black Зашифровали Lockbit.HA!MTB

25 декабря, 2025

Сервер и все физические тачки зашифрованы.
Нигде на просторах интернета не нашел дешифратор.
На всех устройствах стоял Kaspersky Endpoint Security, но что-то пошло не так.
В архиве текстовик с телеграммом вредителя и пример файлов, которые зашифрованы.
Друзья, хелп)

Crypt.rar

25 декабря, 2025

Добавьте, пожалуйста, в 2-3 устройств логи FRST

Если было найдено тело шифровальщика, добавьте сэмпл в архиве с паролем virus

Изменено 25 декабря, 2025 пользователем safety

25 декабря, 2025

Через 2 дня пришлю запрошенную информацию. Прямо сейчас нет возможности.
Не закрывайте пожалуйста эту тему.

25 декабря, 2025

Хорошо, ждем логи и сэмпл.

27 декабря, 2025

Добрый день!
Запрошенные файлы во вложении.
Пароль от архива virus

FRST.txt Addition.txt virus.7z

27 декабря, 2025

Похоже что раскидали задачу с запуском шифровальщика на все устройства

Защиту KES на локальных устройствах могли предварительно отключить, если получили доступ к консоли управления сервера администрирования.

Task: {E95325D8-1447-428E-8401-7598FC73AC70} - System32\Tasks\1 => C:\a*****o.exe (No File)

возможно что была еще одна задача, которая копировала данный файл с сетевого ресурса на локальный диск, при подключении устройства к DC.

Не зашифрованными могли остаться только те, кто не подключался к DC.

Обратите внимание на KSC, лучше обновить до актуальной версии.

По очистке системы:

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\YandexBrowser: Restriction <==== ATTENTION
Task: {E95325D8-1447-428E-8401-7598FC73AC70} - System32\Tasks\1 => C:\a***.exe  (No File)
2025-12-21 23:10 - 2025-12-21 23:10 - 000003296 _____ C:\WINDOWS\system32\Tasks\1
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Изменено 27 декабря, 2025 пользователем safety

27 декабря, 2025

Ок. А файлы расшифруются?

27 декабря, 2025

Для дополнительного анализа проверьте ЛС

27 декабря, 2025

Файл во вложении

Fixlog.txt

lockbit v3 black Зашифровали Lockbit.HA!MTB

Рекомендуемые сообщения

Владислав Николаевич

safety

Владислав Николаевич

safety

Владислав Николаевич

safety

Владислав Николаевич

safety

Владислав Николаевич

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum