lockbit v3 black Словил вирус шифровальщик

[Macitraser]

Коллеа словила вирус шифровальшик на рабочем пк. Файлы логов Farbar и архим с примерами файлови письмом мошенников прилоагаю

Файлы.rar Addition.txt FRST.txt

[Sandor]

Здравствуйте!

 

Во время сканирования раздела "Другие области" иногда создаётся впечатление, что программа зависла. На самом деле она продолжает работу.

Переделайте, пожалуйста, отчёты Farbar.

При корректном окончании работы программа дважды сообщает о создании логов FRST.txt и Addition.txt

[Macitraser]

Понял, сделаю

 

 

Addition.txtFRST.txtЗаписал

[Sandor]

Выполните скрипт очистки.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\opawO0SPk.README.txt [2108 2026-04-03] () [Файл не подписан]
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  2026-04-03 14:00 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\Desktop\opawO0SPk.README.txt
  2026-04-03 14:00 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\AppData\Roaming\opawO0SPk.README.txt
  2026-04-03 14:00 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\AppData\opawO0SPk.README.txt
  2026-04-03 14:00 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\AppData\LocalLow\opawO0SPk.README.txt
  2026-04-03 14:00 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\AppData\Local\opawO0SPk.README.txt
  2026-04-03 13:59 - 2026-04-03 14:00 - 000159420 _____ C:\Users\User\Downloads\Письмо.pdf
  2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\opawO0SPk.README.txt
  2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\Downloads\opawO0SPk.README.txt
  2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\Documents\opawO0SPk.README.txt
  2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\Desktop\opawO0SPk.README.txt
  2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\AppData\Roaming\opawO0SPk.README.txt
  2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\AppData\opawO0SPk.README.txt
  2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\AppData\LocalLow\opawO0SPk.README.txt
  2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\AppData\Local\opawO0SPk.README.txt
  2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\opawO0SPk.README.txt
  2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\Downloads\opawO0SPk.README.txt
  2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\Documents\opawO0SPk.README.txt
  2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\opawO0SPk.README.txt
  2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\opawO0SPk.README.txt
  Toolbar: HKU\S-1-5-21-421414608-608713027-3190253719-1001 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
  Toolbar: HKU\S-1-5-21-421414608-608713027-3190253719-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Users\User\AppData\Roaming\browser_upgrade.exe"
  Remove-MpPreference -ExclusionProcess "Aкт cвepки взaимныx pacчeтoв предприятия № 275 oт 2 апреля 2026 гoдa.exe"
  Remove-MpPreference -ExclusionProcess "browser_upgrade.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  FirewallRules: [{C63A6ECC-5EDA-408E-BEA3-C745FCFEE1BC}] => (Allow) C:\Program Files (x86)\B-Link\USB Wireless LAN Utility\Rtldhcp.exe => Нет файла
  FirewallRules: [{467162E3-A527-4481-9E78-D5FCABFCF16C}] => (Allow) LPort=53
  FirewallRules: [{AB308F76-1508-41D5-AACA-BF1AF18E373A}] => (Allow) LPort=53
  FirewallRules: [{5BB55B21-9426-4190-AAC6-6E1A2714EB1B}] => (Allow) LPort=68
  FirewallRules: [{DD07FE4A-99B6-4E0C-A593-0F0E09A2887B}] => (Allow) LPort=67
  FirewallRules: [{E9595EBC-2FDF-4B53-A5B6-E3D1793F77FD}] => (Allow) LPort=53
  FirewallRules: [{7DE14418-3321-4430-8FCB-2EDC073C52CF}] => (Allow) LPort=1542
  FirewallRules: [{166AACFF-259E-4740-8C8E-9131297A17E0}] => (Allow) LPort=1542
  FirewallRules: [{75097974-F5B8-4D4C-B2CA-DEE5DAB2D056}] => (Allow) C:\Program Files (x86)\B-Link\USB Wireless LAN Utility\RtWLan.exe => Нет файла
  FirewallRules: [{68AADFB5-4516-4A4B-A18D-A419C11AB78B}] => (Allow) C:\Program Files (x86)\B-Link\USB Wireless LAN Utility\RtWLan.exe => Нет файла
  FirewallRules: [{EED75476-1C52-4849-B142-A6A199270938}] => (Allow) LPort=9247
  FirewallRules: [{6BB21A2A-5244-4340-B81C-6331CC554913}] => (Allow) LPort=9246
  FirewallRules: [{ECBFEF55-B69E-445F-8529-130628771AA3}] => (Allow) LPort=9245
  FirewallRules: [{CB9CE5D7-FD6A-41E0-B58F-1042C56678AF}] => (Allow) LPort=9422
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Вероятно заражение началось с вложения из почтового сообщения с именем:

Цитата

Aкт cвepки взaимныx pacчeтoв предприятия № 275 oт 2 апреля 2026 гoдa.exe

Если это сообщение сохранилось, сохраните его в формате *.eml

Упакуйте его в архив с паролем virus и прикрепите к следующему сообщению (или закачайте на облако и дайте ссылку на скачивание).

[Macitraser]

Fixlog.txtСообщения увы не сохранилось, файлы не починились

[Sandor]

2 минуты назад, Macitraser сказал:

файлы не починились

Это была только очистка системы от следов вымогателя.

 

Для этого типа скорее всего нет расшифровки. Некоторое время подождите ответа коллеги @safety

[safety]

В 08.04.2026 в 20:42, Macitraser сказал:

Сообщения увы не сохранилось, файлы не починились

Если систему сканировали Cureit, KVRT или штатным антивирусом, добавьте отчеты о сканировании в архиве, без пароля.