lockbit v3 black Помогите расшифровать файлы (help@room155.online)

[jeromi]

Зашифровали мне три компа, этот зашифровали ровно 3 раза. Очень странно, даже подмонтировали  на буквы A:\  и B:\ скрытые служебные разделы Windows. Помогите, пожалуйста.

FRST.rar Files.rar

[jeromi]

Добавлю, странное наличие дешифровщика в пути C:\Users\Boss\AppData\Local\nomoreransom, полагаю после шифровки проверили возможности утилиты дешифровки.

[safety]

Цитата

Зашифровали мне три компа, этот зашифровали ровно 3 раза

есть такое

2026-03-18 00:15 - 2026-03-18 11:04 - 000002502 ____N () C:\Users\***\AppData\Local\dSjYeNrqM.README.txt.AbNiLikIF.9ZMPJymkF

 

возможно что ИИ поучаствовал.

 

проверьте есть ли сообщения в электронной почте пострадавшего, скорее всего это будет вложение с исполняемым файлом в архиве.

Сообщение сохраните в файл формата EML, добавьте в архив с паролем virus, архив добавьте в ваше сообщение.

 

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-21-1474243395-3164702313-246182985-1001\...\Run: [browser] => C:\Users\Boss\Pictures\browser.scr [466640 2026-03-17] (Акт сверки взаиморасчетов
HKU\S-1-5-21-1474243395-3164702313-246182985-1001\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-21-1474243395-3164702313-246182985-1001\...\Policies\system: [DisableRegistryTools] 1
Startup: C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dSjYeNrqM.README.txt [1978 2026-03-17] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2026-03-18 17:23 - 2026-03-18 17:23 - 000000000 ____D C:\Users\Boss\AppData\Local\nomoreransom
2026-03-18 11:10 - 2026-03-18 11:25 - 000000000 ____D C:\B43B7D39
2026-03-18 11:10 - 2026-03-18 11:10 - 004147254 _____ C:\ProgramData\9ZMPJymkF.bmp
2026-03-18 00:21 - 2026-03-18 00:21 - 004147254 _____ C:\ProgramData\dSjYeNrqM.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

Изменено 19 марта пользователем safety

[jeromi]

Могу прислать сам файл архива. Я его запаковал в rar с паролем virus

Есть ли возможность декриптовать?

Документы.rar

[safety]

Это файл бэкдора, через который, возможно, злоумышленники получили доступ.

Он не поможет в расшифровке.

DrWeb BackDoor.XWorm.787

https://www.virustotal.com/gui/file/a110be4af58c9dd45b0c9560c06c6b7d43ccdad110b1d0852ec1571f6ab1c117?nocache=1

 

Очистку системы так же необходимо выполнить, и собрать карантин.

Изменено 21 марта пользователем safety

[jeromi]

Спасибо за помощь, но я готов переустановить Windows, с полной очисткой диска С:\, так что лечения не будет.

Кстати, получили от злоумышленников повторное письмо с шифровальщиком, а затем письмо с именем компьютера и что на нём зашифровано и что они могут помочь в расшифровке. Вероятнее всего вначале были слиты ID и пароль от anydesk, возможно ещё имя и пароль к учётке, а затем уже шифровали в ручную.

Вопрос: Поможет ли Вам в расшифровке не зашифрованный файл и он же зашифрованный. Или это бесполезно?

 

[safety]

@jeromi,

я не пойму причины, по которой вы не хотите предоставить больше информации по данному случаю шифрования. Вы можете делать со своей системой то что считаете необходимым. До выполнения скрипта, после выполнения скрипта. Нам интересен карантин, который будет после выполнения скрипта.

И этот файл интересна

C:\Users\Boss\Pictures\browser.scr

,И эта папка интересна, вы ведь сами и заинтриговали что в нет что-то есть.

C:\Users\Boss\AppData\Local\nomoreransom

После анализа этих файлов ответим на все ваши вопросы.

Изменено 21 марта пользователем safety

[jeromi]

Не вопрос, сейчас подключу комп и выполню рекомендации выше. Вначале вышлю Вам файлы из предыдущего сообщения, затем выполню рекомендации из 

 

[safety]

Этот файл был подтверждением того, что шифрование было трижды, тремя разными ключами.

2026-03-18 00:15 - 2026-03-18 11:04 - 000002502 ____N () C:\Users\***\AppData\Local\dSjYeNrqM.README.txt.AbNiLikIF.9ZMPJymkF

большой необходимости в нем нет, т.е. после первого шифрования с *dSjYeNrqM, еще дважды был запуск с разными ключами. Зачем им это надо было, так как достаточно было и однократного шифрования, большой вопрос, на который, думаю, мы не получим ответ. Потому я и написал (с некоторой иронией), может быть злоумышленники стали применять ИИ для финальной стадии атаки с шифрованием.

Изменено 21 марта пользователем safety

[jeromi]

Высылаю файлы. Запакованы с паролем virus. И у меня вопрос, лечение по скрипту выше не уничтожит следы работы вируса, не усложнит Вам аналитику? именно по этому я не произвожу с зашифрованным компом никаких действий. Я так же могу предоставить Вам доступ к этому компу по anydesk для анализа, устное разрешение от владельца есть.

И так, что будем делать? Выполнять скрипт?

PS. Обратите внимание на наличие ещё одного файла в папке 

C:\Users\Boss\Pictures\

 

virus.txt

Изменено 21 марта пользователем jeromi

[safety]

Browser.scr - это скорее всего файл, который был установлен из акта взаиморасчетов

не всего сейчас детектируют.

https://www.virustotal.com/gui/file/54a26884f7cfeec3d9a374dddafae55820eb0cee8facb98778eef7ea61ae47e4/detection

msm.exe

https://www.virustotal.com/gui/file/e0f9c4a95fdd8b0b36373296ff49c663d586022b161515b2ed12233203c2ee61?nocache=1

то что в nomoreransom - это не дешифратор, и скорее всего не имеет отношения в файлу с nomoreransom

 

 

[safety]

41 минуту назад, jeromi сказал:

Вам доступ к этому компу по anydesk для анализа, устное разрешение от владельца есть.

Увы, доступ не поможет расшифровать файлы, как отработал room155 и так понятно, через фишинговое письмо, установили бэкдор, а далее уже удаленно загрузили файлы шифровальщиков и выполнили шифрование.

у room155 давняя история, шифруют более двух лет, здесь есть и статистика шифрований от room155, и исследование проведенные F6 и Positive Technologies по данной группе.

[safety]

1 час назад, safety сказал:

Зачем им это надо было, так как достаточно было и однократного шифрования, большой вопрос, на который, думаю, мы не получим ответ.

Вполне возможно, что увидев учетную запись Boss, решили трижды прошифровать файлы, чтобы для расшифровки было необходимо три  приватных ключа, или три дешифратора.

 

Цитата

Вопрос: Поможет ли Вам в расшифровке не зашифрованный файл и он же зашифрованный. Или это бесполезно?

Не поможет. для данного типа пара чистый - зашифрованный не поможет получить приватный ключ.

 

Цитата

 

И у меня вопрос, лечение по скрипту выше не уничтожит следы работы вируса, не усложнит Вам аналитику? именно по этому я не произвожу с зашифрованным компом никаких действий. Я так же могу предоставить Вам доступ к этому компу по anydesk для анализа, устное разрешение от владельца есть.

И так, что будем делать? Выполнять скрипт?

 

Наличие действующего бэкдора в автозапуске нежелательно, так что или надо выполнить очистку системы, или выполнить переустановку системы.

Изменено 21 марта пользователем safety

[jeromi]

Выполнил скрипт, высылаю результат.

Спасибо за помощь, начну ставить Windows с нуля.

 

quarantine.txt Fixlog.txt

[safety]

Удаленные файлы если нужны будут, они в папке c;\frst\quarantine или в созданном архиве,

по хорошему надо блокировать через локальные политики в системе запуск исполняемых файлов из архивов, к сожалению, народ за последние 10-15 лет не изменился, как открывали все подряд из архивов, глядя на иконку, так и продолжают это делать.

 

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 21 марта пользователем safety