lockbit v3 black Шифровальщик файлов и выкуп

[lomani]

2 часа назад, safety сказал:

Флэшку запросите для проверки. Что там могло быть. Судя по количеству администраторов на DC у вас там кто в лес, кто на парад,  кто с зараженной флэшкой ходит на DC

---------

но на мой вопрос вы не ответили:

Файлы на DC продолжают шифроваться?

 

Если на рабочем столе вышла заставка с сообщением о том что все файлы зашифрованы, то шифрование уже завершилось.

Заставки нет на рабочем столе.

30 минут сканировал, повторно, системны диск. Не заметил изменений. другие диски не пострадали.

==================== Диски ================================

Пострадал - Drive a: (DC02 2023_01_27 10:24 DISK_01) (Fixed) (Total:931.37 GB) (Free:0.9 GB) (Model: TOSHIBA HDWD110) NTFS
Пострадал - Drive b: () (Fixed) (Total:0.55 GB) (Free:0.11 GB) (Model: KINGSTON SNV2S500G) NTFS
Пострадал - Drive с: (System M2_3) (Fixed) (Total:465.09 GB) (Free:109.13 GB) (Model: KINGSTON SNV2S500G) NTFS
Drive d: (Data 1 M2_2) (Fixed) (Total:232.87 GB) (Free:10.65 GB) (Model: KINGSTON SNV2S250G) NTFS
Drive e: (Data 2) (Fixed) (Total:14901.98 GB) (Free:11962.43 GB) (Model: ST16000NM001G-2KK103) NTFS
Drive g: () (Fixed) (Total:0.09 GB) (Free:0.06 GB) (Model: KINGSTON SNV2S500G) FAT32
Drive h: (HBCD_PE_x64) (Removable) (Total:3.61 GB) (Free:0.32 GB) FAT32
Drive j: (Data 3) (Fixed) (Total:14901.98 GB) (Free:11963.52 GB) (Model: ST16000NM001G-2KK103) NTFS

 

на данный момент ПК выключен , на случай если вирус еще работает =( KES-12-11 заметит его работу если включить ПК ?

 

1 час назад, lomani сказал:

Пострадал - Drive с: (System M2_3) (Fixed) (Total:465.09 GB) (Free:109.13 GB) (Model: KINGSTON SNV2S500G) NTFS

на диске не всё зашифровано, но самое страшное и важное он успел зашифровать. наверное из-за того что часть системных папок пользователя перемещены на другой диск. Вот я и боюсь что при включении ПК вирус продолжит шифровать все остальное.

 

как думаете, если провести восстановление ОС с диска, проверку системных файлов и т.д. , возможно будет продолжить работу с ОС не форматируя и переустанавливая ОС ?

[lomani]

4 часа назад, safety сказал:

Флэшку запросите для проверки. Что там могло быть.

я даже не уверен что это в флэшке дело... все сошлось в одно и в спехе, в один момент вылезла табличка для обновления K-lite пака кодеков и я нажал скачать апгрейд, открылся сайт, и я нажал скачать.... и зашли люди с флэшкой, в момент когда вылезла табличка обновления. подменили сайт с обновлениями кодеков? подменили ссылку на скачивание кодеков? .... а с другой стороны, обновление кодеков скачалось и я его потом успешно установил, после установки каспера и осознания что файлы зашифрованы .

[safety]

10 часов назад, lomani сказал:

на данный момент ПК выключен , на случай если вирус еще работает =( KES-12-11 заметит его работу если включить ПК ?

На других устройствах в ЛС шифрования не было?

По DC нужен доп. анализ системы, о котором я написал в ЛС.

 

[lomani]

В 09.05.2026 в 06:03, safety сказал:

На других устройствах в ЛС шифрования не было?

на данный момент не замечено

В 09.05.2026 в 06:03, safety сказал:

По DC нужен доп. анализ системы, о котором я написал в ЛС.

будет во вторник 

[safety]

Цитата

на случай если вирус еще работает =( KES-12-11 заметит его работу если включить ПК

Если сэмпл (предположительно Lockbit) дополнительно не модифицирован пакерами, то обнаружение есть практически у всех антивирусов.

Изменено 11 мая пользователем safety

[lomani]

Reports.7z

полное сканирование

[safety]

Хорошо, немного позже проверю Reports и логи.