lockbit v3 black Шифровальщик ijAfcuXJL от room155

[Alexan_S]

Добрый день. Поймали шифровальщик от room155.

Открыли письмо с темой: Счет для Вашей организации.

В zip-овском архиве был документ и скрипт, само письмо, к сожалению, уже удалили.

Есть файлы до и после зашифровки, сам шифровальщик поймать не удалось.

архив.zip

[safety]

Хорошо, немного позже отвечу

[safety]

Если систему сканировали штатным антивирусом, Cureit или KVRT, добавьте отчет о проверке в врхиве, без пароля.

 

По очистке системы (можно выполнить скрипт из безопасного режима, если вам удобно)

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
IFEO\AggregatorHost.exe: [Debugger] %windir%\System32\taskkill.exe
IFEO\aitstatic.exe: [Debugger] %windir%\System32\taskkill.exe
IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
IFEO\DeviceCensus.exe: [Debugger] %windir%\system32\taskkill.exe
IFEO\SecHealthUI.exe: [Debugger] %windir%\system32\taskkill.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\systray.exe
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help.lnk [2025-03-23]
ShortcutTarget: help.lnk -> C:\Users\User\AppData\Roaming\Winset\help.vbs (Нет файла)
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ijAfcuXJL.README.txt [2026-01-28] () [Файл не подписан]
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение - Edge <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
2026-01-28 15:00 - 2026-01-28 14:11 - 283339336 _____ C:\Users\User\Desktop\eeeayner.exe
2026-01-28 13:43 - 2026-01-28 13:43 - 002098230 _____ C:\ProgramData\ijAfcuXJL.bmp
2026-01-28 13:43 - 2026-01-28 13:43 - 000014336 ____T C:\ProgramData\34FB.tmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

[Alexan_S]

На компе, на котором словили шифровальщик, уже полностью переустановлена система, остались зашифрованные файлы в подключенной сетевой папке, но там не Cureit не KVRT ничего не нашли.

[safety]

Понятно.

 

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);