lockbit v3 black Шифровальщик .8PbsCcHuo

[FreakaFree]

Добрый день! Словили шифровальщик с расширением .8PbsCcHuo

Все файлы зашифровало, есть возможность расшифровать?

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[safety]

Цитата

Все файлы зашифровало, есть возможность расшифровать?

 

Для начала надо понять с чем вы столкнулись.

 

Добавьте несколько зашифрованных файлов + записку о выкупе в архиве без пароля.

+

необходимы логи FRST из зашифрованной системы

+

если был найден файл шифровальщика, добавьте данный файл в архиве, с паролем virus

 

Изменено 12 марта пользователем safety

[FreakaFree]

Прошу прощения, поторопился. Вирус ppn.exe маскировался под KAV Remote Installations. Два файла с расширением .8PbsCcHuo результат шифрования, файла с требованиями не обнаружено.

FRST.txt KAV Remote Installations.zip

[safety]

Возможно, что злоумышленники задачу с запуском ppn.exe раскидали через консоль сервера управления Касперского.

Логи сейчас проверю.

 

По очистке системы:

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] ВНИМАНИЕ ***
HKLM\...\Policies\system: [legalnoticetext] 1. Не храните и не оставляйте на рабочем столе информацию, содержащую коммерческую тайну, персональные данные,
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
IFEO\EOSnotify.exe: [Debugger] /
IFEO\InstallAgent.exe: [Debugger] /
IFEO\MoNotificationUx.exe: [Debugger] /
IFEO\MusNotification.exe: [Debugger] /
IFEO\MusNotificationUx.exe: [Debugger] /
IFEO\remsh.exe: [Debugger] /
IFEO\SihClient.exe: [Debugger] /
IFEO\UpdateAssistant.exe: [Debugger] /
IFEO\UsoClient.exe: [Debugger] /
IFEO\WaaSMedic.exe: [Debugger] /
IFEO\WaasMedicAgent.exe: [Debugger] /
IFEO\Windows10Upgrade.exe: [Debugger] /
IFEO\Windows10UpgraderApp.exe: [Debugger] /
Edge HKLM\...\Edge\Extension: [jabjbhgjaidecageckilhonbggakppme]
Edge HKLM-x32\...\Edge\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
Edge HKLM-x32\...\Edge\Extension: [jabjbhgjaidecageckilhonbggakppme]
Edge HKLM-x32\...\Edge\Extension: [pfhgbfnnjiafkhfdkmpiflachepdcjod]
CHR HKLM\...\Chrome\Extension: [jabjbhgjaidecageckilhonbggakppme]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [jabjbhgjaidecageckilhonbggakppme]
CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
CHR HKLM-x32\...\Chrome\Extension: [pfhgbfnnjiafkhfdkmpiflachepdcjod]
S3 libusb0; system32\drivers\libusb0.sys [X]
U4 nxfs; отсутствует ImagePath
U4 nxpcap; отсутствует ImagePath
U4 nxusbd; отсутствует ImagePath
U4 nxusbh; отсутствует ImagePath
U4 nxusbs; отсутствует ImagePath
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 12 марта пользователем safety

[FreakaFree]

18 минут назад, safety сказал:

Возможно, что злоумышленники задачу с запуском ppn.exe раскидали через консоль сервера управления Касперского.

Логи сейчас проверю.

Ну этот факт мы в логах высмотрели. Есть ли возможность расшифровать содеянное, вот в чем вопрос?

[safety]

Выше добавил скрипт очистки для FRST, расшифровке это конечно не поможет.

Файл записки о выкупе нашли?

Это может быть одиночный файл:

Может иметь такие имена, если не ошибаюсь с предположением:
 

Цитата

 

README_FOR_DECRYPT*

FOR_DECRYPT*

FOR ADMIN.README

 

Судя по файлу шифровальщика, в конфиге отключено создание записки о выкупе.

Если есть такой файл, добавьте так же и его в ваше сообщение.

+

для доп. информации проверьте ЛС.

Изменено 12 марта пользователем safety

[FreakaFree]

Спасибо, сейчас посмотрю.

[safety]

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);