lockbit v3 black Шифровальщик BOBCAT

[Alex_88]

Добрый день!

Столкнулись с шифровальщиками, FRST логи и файлы прилагаю, просьба помочь с расшифровкой данных. 

 

Desktop.rar tuE65Ab7X.README.txt Счет на оплату № УТ-258 от 04.10.2023.pdf.rar

Изменено 9 мая пользователем safety

[safety]

Если систему уже сканировали с помощью KVRT, Cureit или штатным антивирусом добавьте отчеты по сканированию, в архиве, без пароля

[Alex_88]

Добавляю отчет

report_2026.05.11_13.13.42.klr.rar

[safety]

В этой папке что-нибудь осталось?

C:\Users\bor_kassa\Desktop

 

Много заражений Neshta, возможно что и сам сэмпл был заражен дополнительно Neshta, поэтому детектов Ransom нет в логе.

 

Возможно что этот файл мог быть шифровальщиком, но он зашифрован.

2026-05-06 18:12 - 2026-05-06 18:52 - 000239337 _____ C:\Users\lio\Desktop\papas.exe.tuE65Ab7X

 

По логу FRST/Addition.txt было понятно, что в системе заражение Neshta

HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ВНИМАНИЕ

2026-05-06 18:13 - 2026-05-09 09:43 - 000000034 _____ C:\Windows\directx.sys
2026-05-06 18:13 - 2026-05-06 18:13 - 000041472 _____ C:\Windows\svchost.com

 

Из инструментов виден mimikatz

 

D:\Share\c\ - это что  вас? копия диска C?

========

Сделайте новые логи FRST, посмотрим что осталось.

Изменено 11 мая пользователем safety

[Alex_88]

 

1 час назад, safety сказал:

В этой папке что-нибудь осталось?

C:\Users\bor_kassa\Desktop

Да скрин папки и архив kiwi прилагаю

 

1 час назад, safety сказал:

D:\Share\c\ - это что  вас? копия диска C?

Да , это старая копия диска С

Desktop1.rar kiwi-v.2.rar

[safety]

В этой папке покажите что осталось:

C:\Users\lio\Desktop

[Alex_88]

добавляю

[safety]

Это ваши файлы запускаются через ключи автозапуска?

HKU\S-1-5-21-3395816081-1075437985-1849741840-1005\...\Winlogon: [Userinit] D:\1C_Base$\1c.cmd
HKU\S-1-5-21-3395816081-1075437985-1849741840-1005\...\Winlogon: [Shell] D:\1C_Base$\1c.cmd <==== ВНИМАНИЕ

 

 

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ВНИМАНИЕ
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
HKU\S-1-5-21-3395816081-1075437985-1849741840-1006\...\Run: [1C] => D:\1C_Base$\1С.bat (Нет файла)
HKU\S-1-5-21-3395816081-1075437985-1849741840-1006\...\Run: [YandexDisk2] => C:\Users\Zaozersk_kassa\AppData\Roaming\Yandex\YandexDisk2\3.2.46.5114\YandexDisk2.exe -autostart (Нет файла)
IFEO\sethc.exe: [Debugger] C:\\windows\\system32\\cmd.exe
HKLM\...\Winlogon: [Shell]  [ ] <=== ВНИМАНИЕ
S4 AmmyyAdmin_630; "C:\Users\Expert\Desktop\AA_v3.3.exe" -service -lunch (Нет файла) (Нет файла)
S4 AmmyyAdmin_884; "C:\Users\Expert\Desktop\AA_v3.3.exe" -service -lunch (Нет файла) (Нет файла)
S4 AmmyyAdmin_94C; "C:\Users\Expert\Desktop\AA_v3.3.exe" -service -lunch (Нет файла) (Нет файла)
S4 AmmyyAdmin_C40; "C:\Users\Expert\Desktop\AA_v3.3.exe" -service -lunch (Нет файла) (Нет файла)
S2 OpenVPNService; "C:\OpenVPN\bin\openvpnserv.exe" (Нет файла) (Нет файла)
S3 4F9652244BEBF4F6; \??\C:\Windows\TEMP\403C130.sys (Нет файла) <==== ВНИМАНИЕ
S3 8a680cdf0ebff28f; \??\C:\Windows\TEMP\4af2742.sys (Нет файла) <==== ВНИМАНИЕ
S3 8a680cdf54beb50f; \??\C:\Windows\TEMP\4b192ed.sys (Нет файла) <==== ВНИМАНИЕ
S3 8a6a518285b0358f; \??\C:\Windows\TEMP\4ade6e1.sys (Нет файла) <==== ВНИМАНИЕ
S3 8a6a5184efde778f; \??\C:\Windows\TEMP\498415c.sys (Нет файла) <==== ВНИМАНИЕ
S3 8a6a5185c998c50f; \??\C:\Windows\TEMP\4a13eeb.sys (Нет файла) <==== ВНИМАНИЕ
S3 8a6ba28ac9fb830f; \??\C:\Windows\TEMP\4f9e7f1.sys (Нет файла) <==== ВНИМАНИЕ
S3 8a6ba28d845cb08f; \??\C:\Windows\TEMP\4bc19c3.sys (Нет файла) <==== ВНИМАНИЕ
S3 8a6ba9713b8fa10f; \??\C:\Windows\TEMP\4ce6d45.sys (Нет файла) <==== ВНИМАНИЕ
S3 8a6deb8d767f430f; \??\C:\Windows\TEMP\40f9a2a.sys (Нет файла) <==== ВНИМАНИЕ
S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys (Нет файла)
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys (Нет файла)
S3 tsusbhub; system32\drivers\tsusbhub.sys (Нет файла)
S3 VGPU; System32\drivers\rdvgkmd.sys (Нет файла)
2026-05-06 18:38 - 2026-05-07 10:54 - 000000000 ____D C:\ProgramData\IObit
2026-05-06 18:38 - 2026-05-06 18:38 - 000000000 ____D C:\Program Files\IObit
2026-05-06 18:24 - 2026-05-06 18:58 - 000000000 ____D C:\Users\bor_kassa\Desktop\kiwi-v.2
2026-05-06 18:13 - 2026-05-11 18:51 - 000000034 _____ C:\Windows\directx.sys
2026-05-06 18:13 - 2026-05-06 18:13 - 000041472 _____ C:\Windows\svchost.com
2026-05-05 18:24 - 2026-05-06 18:52 - 000000000 ____D C:\Users\lio\Desktop\scan
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении

Изменено 11 мая пользователем safety

[Alex_88]

Готово.

https://disk.360.yandex.ru/d/8GRMtfl7IPifnQ

Fixlog_11-05-2026 19.52.56.txt

[safety]

Для доп. анализа проверьте ЛС.

[Alex_88]

Направил информацию в ЛС.

Подскажите получится ли расшифровать данные?

[safety]

С расшифровкой файлов по данному типу не сможем помочь

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);