lockbit v3 black Троян зашифровал файлы на компьютере

[Andrey1015]

Здравствуйте. 

 

Не понятно как, но на компютере в домене прилетел троян, судя по всему по эл.почте. Учетная запись без прав администратора. Зашиврофали все файлы на локальных дисках и некоторые файлы на сетевых дисках, куда был доступ у данной учетной записи. Файл трояна был удален, назывался как-то "sputnik_...". Во вложении архив с зашифрованными файлами и файлом .txt с требованиями.

 

files.zip FRST.txt Addition.txt

[safety]

Скорее всего этот пользователь и открыл эл. сообщение в почте

2026-02-13 16:01 - 2022-02-08 15:00 - 000004640 ____N C:\Users\i.golikova\Sti_Trace.log.7xZp7CXOc

Если сообщение сохранилось в почте, экспортируйте сообщение в файл формата EML, файл добавьте в архив с паролем virus,

архив прикрепите к вашему сообщению.

 

Если систему сканировали штатным антивирусом, добавьте отчет о сканировании в архиве, без пароля.

 

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-21-3771566727-2068562143-1921348884-4618\Environment: [windir] cmd.exe /k START C:\Users\i.golikova\AppData\Local\Temp\mbqphz.exe & EXIT <====
C:\Users\i.golikova\AppData\Local\Temp\mbqphz.exe
Startup: C:\Users\i.golikova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7xZp7CXOc.README.txt [2026-02-13] () [Файл не подписан]
Startup: C:\Users\i.golikova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2026-02-13] () [Файл не подписан] <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\i.golikova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 QWAVE; C:\Users\i.golikova\AppData\Local\Temp\mbqphz.exe [1263616 2025-10-24] () [Файл не подписан] <==== ВНИМАНИЕ
S3 seclogon; C:\Users\i.golikova\AppData\Local\Temp\mbqphz.exe [1263616 2025-10-24] () [Файл не подписан] <==== ВНИМАНИЕ
S3 RemoteRunSvc; \\FILATOVA-215\admin$\RemRun.exe \\FILATOVA-215\admin$\AgSetupFile.bat [X]
S3 458BCCA01D20B86D; \??\C:\Users\adm\AppData\Local\Temp\4401D4093.sys [X] <==== ВНИМАНИЕ
2026-02-05 19:05 - 2026-02-13 19:15 - 000000000 ____D C:\Users\i.golikova\AppData\Roaming\MyData
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

[Andrey1015]

Да, попал через письмо, экспортировал его в EML в virus.zip.

 

На другом компьютере (win 11) штатный антивирус его поймал. Во вложении скриншот журнала защиты , в Снимок экрана 2026-02-16 164903.zip

virus.zip Снимок экрана 2026-02-16 164903.zip

[safety]

А скрипт FRST не выполнили в системе, по которой добавлены логи FRST?

 

Это файл шифровальщика.

Startup: C:\Users\i.golikova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2026-02-13] () [Файл не подписан] <==== ВНИМАНИЕ

На момент создания логов он был еще в папке автозапуска, т.е. в случае перезагрузки системы мог вновь запуститься.

 

На ПК надо ограничивать запуск исполняемых файлов из различных форматов архивов.

 

Детект вложения из email на текущий момент:

Kaspersky UDS:Trojan-Dropper.Win32.Injector.gen

DrWeb Undetected

ESET-NOD32 Undetected

https://www.virustotal.com/gui/file/1976a353080e045b86f6780317f6b1e2d6ff9d7bc3385d3bff37a36a885fddbf/detection

Изменено 16 февраля пользователем safety