lockbit v3 black сервер 1С поймал шифровальщик

[sva_zar]

Здравствуйте!

 

сервер 1С поймал шифровальщик 

почтовый ящик onlinedecodeallfiles@gmail.com

Антивируса не было.

Антивирусные программы не запускали.

 

files.zip

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[sva_zar]

FRST.txtAddition.txt

[safety]

Этот файл заархивируйте с паролем virus, архив загрузите в ваше сообщение.

2026-06-12 23:20 - 2026-06-12 23:19 - 000153600 _____ C:\Users\Администратор\Documents\LB3.exe

 

Другие устройства в сети не были затронуты шифрованием?

 

Изменено вчера в 08:33 пользователем safety

[sva_zar]

LB3.rar

[safety]

Другие устройства в сети не были затронуты шифрованием?

 

Судя по сэмплу LB3.exe именно этим файлом было выполнено шифрование

 

ransom ext: ".NZqKUsRMx"
ransom note name: "NZqKUsRMx.README.txt"

 

 

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-18\...\Run: [] => [X]
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2026-06-12 23:20 - 2026-06-12 23:19 - 000153600 _____ C:\Users\Администратор\Documents\LB3.exe
2026-06-12 23:07 - 2026-06-12 23:35 - 000000000 ____D C:\Users\Администратор\AppData\Local\Advanced Port Scanner 2
2026-06-09 01:44 - 2026-06-12 23:51 - 000000000 ____D C:\Users\Patrusheva-NM\AppData\Local\Advanced Port Scanner 2
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

Изменено вчера в 09:33 пользователем safety

[sva_zar]

еще один ПК точно

 

https://cloud.mail.ru/public/FDUB/tWeP2DrrV

Fixlog.txt

 

[safety]

Расширение файлов на другом устройстве то же самое?

ransom ext: ".NZqKUsRMx"

 

Для доп. анализа проверьте ЛС.

Изменено вчера в 11:18 пользователем safety

[safety]

Добавьте логи FRST по второму ПК

[s_k_y_p_e]

3 часа назад, safety сказал:

Добавьте логи FRST по второму ПК

FRST.txt

[safety]

Вторую учетку зачем используете? логи FRST - это два файла: FRST.txt и Addition.txt

[s_k_y_p_e]

5 часов назад, safety сказал:

Вторую учетку зачем используете? логи FRST - это два файла: FRST.txt и Addition.txt

 

Addition.txt

[safety]

11 минут назад, s_k_y_p_e сказал:

Вторую учетку зачем используете?

 

 

по очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" (Нет файла)
HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" (Нет файла)
Task: {3F525DF3-275E-47A6-BC6F-D675686E4FAD} - System32\Tasks\transport => C:\Users\mag\Desktop\transport.bat  (Нет файла)
2026-06-13 05:15 - 2026-06-13 05:15 - 004147254 _____ C:\ProgramData\NZqKUsRMx.bmp
2026-06-13 05:15 - 2026-06-13 05:15 - 000014336 ____T C:\ProgramData\514C.tmp
2026-06-09 01:44 - 2026-06-13 05:14 - 000000000 ____D C:\Users\mag\AppData\Local\Advanced Port Scanner 2
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 12 часов назад пользователем safety