lockbit v3 black Помогите расшифровать файлы с расширением .lokbt и i6ExcKHMZ

[ValeryZ]

Добрый день прошу помощи в расшифровке файлов и определении наименования шифровальщика. Приложил копии файлов в архиве зашифрованные и оригиналы (того что есть). Заранее спасибо

11111.zip

[safety]

Логи FRST добавьте из зашифрованной системы.

+

Если систему уже сканировали с помощью KVRT, Cureit или штатным антивирусом добавьте отчеты по сканированию, в архиве, без пароля

[ValeryZ]

Да спасибо, как раз в процессе

[safety]

Хорошо, ждем логи.

[ValeryZ]

Пожалуйста файлы Логи FRST Addition.txtFRST.txt

[safety]

В логам я вижу только шифрование *i6ExcKHMZ,

откуда файлы с другим расширением *lockbt?

+

Если систему уже сканировали с помощью KVRT, Cureit или штатным антивирусом добавьте отчеты по сканированию, в архиве, без пароля

т.е. желательно найти так же сэмпл, которым было выполнено шифрования для подтверждения типа шифровальщика.

[ValeryZ]

Не нашел как тут лог скачать, в отчетах только начато сканирование и завершено. По поводу файлов с другим расширением *lockbt они расположены на сервере qnap под Unix не знаю как просканировать их(

Изменено 15 мая пользователем ValeryZ
из того что не ОК в KVRT, только это

[safety]

Файлы под Win зашифрованы Lockbit v3 Black, те что на сервере qnap, скорее всего зашифрованы  Babuk.

[ValeryZ]

6 минут назад, safety сказал:

Файлы под Win зашифрованы Lockbit v3 Black, те что на сервере qnap, скорее всего зашифрованы  Babuk.

Расшифровке как я понимаю не поддаются?

[safety]

Поддаются, но только в том случае если есть соответствующий приватный ключ, который есть только у злоумышленников.

Изменено 15 мая пользователем safety

[ValeryZ]

Спасибо вам и на том, за все старания

 

41 минуту назад, safety сказал:

Поддаются, но только в том случае если есть соответствующий приватный ключ, который есть только у злоумышленников.

Подскажите, если знаете, как они по сетке распространяются? субъективно поражены те машины где был включен протокол smbv1, остальные машины не пострадали, логины также не поменяны, лишних пользователей не наблюдаем.

[safety]

В config.json есть параметр, который указывает на возможность распространения сэмпла по сети.

      "psexec_netspread": false, && по умолчанию он выключен, включено лесли будет true

Если были попытки распространения, может и сэмпл найдется на других зашифрованных ПК? проверьте по обнаружению штатных антивирусов, возможно были срабатывания. Сделайте несколько логов FRST на других устройствах.

А вообще неплохо будет прочесть материалы в сети о Lockbit, не все же время читать только про covid,

Изменено 16 мая пользователем safety