lockbit v3 black Шифровальщик файлов и выкуп

8 мая

Зашифровал файлы и требует выкуп.

Вскрыл 2 скрытых диска\раздела. 1 диск для автоматического архивирования и загрузочный раздел, также диск C . (диск С зашифровал не полностью) . до остальных дисков не добрался.

Addition.txt FRST.txt vir.7z

8 мая

Если систему уже сканировали с помощью KVRT, Cureit или штатным антивирусом добавьте отчеты по сканированию, в архиве, без пароля

8 мая

система выключена , дабы не зашифровало остальные файлы.

23 минуты назад, safety сказал:

систему уже сканировали с помощью KVRT

сканировал , как вытащить отчет? кнопок не увидел, а то что вывело, там не было подозрительных файлов

8 мая

Папку reports добавьте в архив без пароля.

отсюда:

2026-05-08 17:02 - 2026-05-08 13:21 - 000000000 ____D C:\KVRT2020_Data

8 мая

Reports.7z

3 часа назад, safety сказал:

Папку reports добавьте в архив без пароля.

отсюда:

2026-05-08 17:02 - 2026-05-08 13:21 - 000000000 ____D C:\KVRT2020_Data

я после первого запуска , запустил еще раз с выбором дисков сканирования и остановил вручную , это не страшно? или ещё раз просканировать быстрое сканирование до конца? или cureit запустить?

8 мая

Из того что найдено к шифровальщику не имеет отношения.

К сожалению, расшифровка файлов по LockbitV3Black невозможна без приватного ключа, или дешифратора с ключом.

1 минуту назад, lomani сказал:

или ещё раз просканировать быстрое сканирование до конца? или cureit запустить?

Лучше будет просканировать системный диск до конца, чтобы сканирование было завешено.

8 мая

как остановить дальнейшее шифрование оставшихся файлов?

8 мая

А файлы продолжают шифроваться?

Судя по логу FRST шифрование началось в это время или чуть раньше.

2026-04-22 13:19 - 2026-05-08 11:41 - 000000364 _____ C:\Users\Admin.***\AppData\Local\PUTTY.RND.HcB4xF2Oi

В процессах нет активного шифрования.

Но,

если у вас папка C:\Users расшарена для чтения и записи, то процесс шифрования может быть был запущен на другом устройстве, и шифрует файлы на вашем устройстве по сети.

Изменено 8 мая пользователем safety

8 мая

27 минут назад, safety сказал:

В процессах нет активного шифрования.

Но,

если у вас папка C:\Users расшарена для чтения и записи, но процесс шифрования может быть был запущен на другом устройстве, и шифрует файлы на вашем устройстве по сети.

мне дали флешку на распечатку пдф, после открытия пдф я почувствовал глюки системы, но не обратил внимания, когда распечатал всё, я увидел зашифрованный рабочий стол =(((

8 мая

Судя по логу FRST файлы зашифрованы как контролере домена, верно?

Цитата

Запущено с помощью Admin (Администратор) на DC02 (ASUS System Product Name) (08-05-2026 13:27:28)

Флэшку открывали на каком устройстве?

8 мая

1 минуту назад, safety сказал:

Судя по логу FRST файлы зашифрованы как контролере домена, верно?

Флэшку открывали на каком устройстве?

тут и открывал DC02 , он и есть контроллер домена, днс и т.д.

8 мая

Антивирус так понимаю установили сразу после шифрования

2026-05-08 11:58 - 2026-05-08 13:18 - 000000000 ____D C:\Windows\system32\Drivers\KES-12-11
2026-05-08 11:58 - 2026-05-08 11:58 - 000000000 ____D C:\ProgramData\Kaspersky Lab
2026-05-08 11:58 - 2026-05-08 11:58 - 000000000 ____D C:\Program Files (x86)\Kaspersky Lab
2026-05-08 11:48 - 2026-05-08 11:15 - 000002492 _____ C:\Program Files (x86)\HcB4xF2Oi.README.txt

В отчетах Касперского по обнаружениям есть детекты? Флэшку проверили? что там могло быть. Файл pdf сам по себе не шифрует и не кусается.

Изменено 8 мая пользователем safety

8 мая

+ проверьте ЛС.

8 мая

11 минут назад, safety сказал:

Антивирус так понимаю установили сразу после шифрования

2026-05-08 11:58 - 2026-05-08 13:18 - 000000000 ____D C:\Windows\system32\Drivers\KES-12-11
2026-05-08 11:58 - 2026-05-08 11:58 - 000000000 ____D C:\ProgramData\Kaspersky Lab
2026-05-08 11:58 - 2026-05-08 11:58 - 000000000 ____D C:\Program Files (x86)\Kaspersky Lab
2026-05-08 11:48 - 2026-05-08 11:15 - 000002492 _____ C:\Program Files (x86)\HcB4xF2Oi.README.txt

В отчетах Касперского по обнаружениям есть детекты? Флэшку проверили? что там могло быть. Файл pdf сам по себе не шифрует и не кусается.

да, сразу как увидел рабочий стол.

Флэшку унесли, я опомниться не успел, так что не проверял ее. Каспер после установки ничего не увидел.

3 минуты назад, safety сказал:

+ проверьте ЛС.

понял, принял.

но теперь после праздников =(

8 мая

Флэшку запросите для проверки. Что там могло быть. Судя по количеству администраторов на DC у вас там кто в лес, кто на парад, кто с зараженной флэшкой ходит на DC

---------

но на мой вопрос вы не ответили:

Файлы на DC продолжают шифроваться?

Если на рабочем столе вышла заставка с сообщением о том что все файлы зашифрованы, то шифрование уже завершилось.

Изменено 8 мая пользователем safety

lockbit v3 black Шифровальщик файлов и выкуп

Рекомендуемые сообщения

lomani

safety

lomani

safety

lomani

safety

lomani

safety

lomani

safety

lomani

safety

safety

lomani

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum