lockbit v3 black Шифровальщик попал в организацию!

[Amirsvami]

Добрый день! 

Сегодня ночью подверглись атаке шифровальщика. Разрушил всё! Начиная с файлов (частично) заканчивая бекапами и базами данных, а так же виртуальные машины. Просьба написать, какие данные скинуть для анализа, возможно уже был похожий кейс. А, и ещё, в организации нашей установлен корпоративный Касперский.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Amirsvami]

Прикрепил всё по инструкции. 

Addition.txt FRST.txt Obrazec.7z

[safety]

Здесь  продолжаем. Файлы и логи сейчас проверю.

[safety]

Следов шифрования (зашифрованных файлов, записку о выкупе) по логам не увидел

 

Этот файл добавьте в архив с паролем virus, архив загрузите в ваше сообщение.

2026-02-01 05:09 - 2026-02-01 04:23 - 000148480 _____ C:\Users\aazimov\Downloads\auto.exe

 

Посмотрите так же записку о выкупе:

Может иметь такие имена:

README_FOR_DECRYPT*

FOR_DECRYPT*

FOR ADMIN.README

 

Изменено 1 февраля пользователем safety

[Amirsvami]

Записок не было, они написали в телеграм о том, что захватили все данные.

Файл добавил. 

 

README_FOR_DECRYPT* - есть такой файл, там только ссылка на телеграмм канал 

Изменено 1 февраля пользователем safety
загружен, удален

[safety]

Файл auto.exe просил у вас добавить в архив с паролем virus.

Цитата

README_FOR_DECRYPT* - есть такой файл, там только ссылка на телеграмм канал 

Этот файл так же добавьте, в архиве, без пароля.

Изменено 1 февраля пользователем safety

[safety]

Это Lockbit V3 Black

Записка о выкупе идет отдельным файлом, так как в cfg.json поле записки обнулено.

+

проверьте ЛС

 

Изменено 1 февраля пользователем safety

[Amirsvami]

Добавил файлы, которые просили вы, и ещё несколько с другого сервера. 

obrazec.7z

[safety]

Системы следует проверить с помощью Cureit или KVRT, скорее всего файл auto.exe распространили по всем ПК и серверам. Файл должен детектироваться антивирусом. Возможно что была отключена защита.

+

проверьте ЛС

Изменено 1 февраля пользователем safety

[Amirsvami]

[safety]

Логи KVRT добавьте из папки C:\KVRT2020_Data\Reports, в архиве, без пароля.

[Amirsvami]

Вот ещё логи, это уже с РС пользователя. 

Возможно с него всё началось 

Addition.txt FRST.txt

[safety]

Возможно, что с этого.

Здесь размещены инструменты сканирования сети.

2026-01-28 14:11 - 2026-01-28 14:11 - 000000015 _____ C:\Users\aa**\advanced_ip_scanner_Comments.bin
2026-01-28 14:11 - 2026-01-28 14:11 - 000000015 _____ C:\Users\aa***\advanced_ip_scanner_Aliases.bin
2026-01-28 14:11 - 2026-01-28 14:11 - 000000004 _____ C:\Users\aa***\advanced_ip_scanner_MAC.bin
2026-01-28 14:07 - 2026-01-28 14:07 - 021050672 _____ (Famatech Corp. ) C:\Users\***\Desktop\Advanced_IP_Scanner_2.5.4594.1.exe