• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Win32/Filecoder.Lockbit trojan зашифровал все файлы

Сергей_48

Новый пользователь
Сообщения
6
Реакции
0
Win32/Filecoder.Lockbit trojan ( так его определила утилита от ЕSET зашифровал все файлы и добавил свое расширение (a6NJbBKuo) подскажите есть возможность спасти файлы ?
 

Вложения

Если не ошибаюсь это LockBit 3.0. Система под переустановку?
1722371372926.png
 
Систему очень бы хотелось оставить там стоит пару рабочих программ которые не хотелось перенастраивать заново. По LockBit 3.0. ключ не подходит.
 
Про сканировал диски утилитой check_decrypt.exe получил такие файлы
 

Вложения

Получается возможна частичная расшифровка. В вирлабы обращались за дешифратором? А то в дикой природе, кроме утилит для проверки, ничего нет.

Пока можно использовать
https://www.nomoreransom.org/ru/report-a-crime.html
 
Последнее редактирование:
Подскажи куда обратится в Украине с за дешифратором
 
@Сергей_48, к сожалению, расшифровки этого типа вымогателя без приватного ключа (который находится у злоумышленников) нет.
У антивирусных вендоров скорее всего её тоже нет.

По очистке системы:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    2024-07-26 16:09 - 2024-07-26 16:05 - 000001287 _____ C:\Users\Acronis Agent User\Downloads\a6NJbBKuo.README.txt
    2024-07-26 16:09 - 2024-07-26 16:05 - 000001287 _____ C:\Users\Acronis Agent User\Documents\a6NJbBKuo.README.txt
    2024-07-26 16:09 - 2024-07-26 16:05 - 000001287 _____ C:\Users\Acronis Agent User\Desktop\a6NJbBKuo.README.txt
    2024-07-26 16:09 - 2024-07-26 16:05 - 000001287 _____ C:\Users\Acronis Agent User\AppData\Roaming\a6NJbBKuo.README.txt
    2024-07-26 16:09 - 2024-07-26 16:05 - 000001287 _____ C:\Users\Acronis Agent User\AppData\LocalLow\a6NJbBKuo.README.txt
    2024-07-26 16:09 - 2024-07-26 16:05 - 000001287 _____ C:\Users\Acronis Agent User\AppData\Local\a6NJbBKuo.README.txt
    2024-07-26 16:09 - 2024-07-26 16:05 - 000001287 _____ C:\Users\Acronis Agent User\AppData\a6NJbBKuo.README.txt
    2024-07-26 16:09 - 2024-07-26 16:05 - 000001287 _____ C:\Users\Acronis Agent User\a6NJbBKuo.README.txt
    2024-07-26 16:06 - 2024-07-26 16:05 - 000001287 _____ C:\Users\user\AppData\Local\a6NJbBKuo.README.txt
    2024-07-26 16:04 - 2024-07-26 16:05 - 000001287 _____ C:\Users\user\AppData\LocalLow\a6NJbBKuo.README.txt
    2024-07-26 16:00 - 2024-07-26 16:05 - 000001287 _____ C:\Users\user\AppData\Roaming\a6NJbBKuo.README.txt
    2024-07-26 16:00 - 2024-07-26 16:05 - 000001287 _____ C:\Users\user\AppData\a6NJbBKuo.README.txt
    2024-07-26 15:59 - 2024-07-26 16:05 - 000001287 _____ C:\Users\user\Desktop\a6NJbBKuo.README.txt
    2024-07-26 15:58 - 2024-07-26 16:05 - 000001287 _____ C:\Users\user\Downloads\a6NJbBKuo.README.txt
    2024-07-26 15:58 - 2024-07-26 16:05 - 000001287 _____ C:\Users\user\Documents\a6NJbBKuo.README.txt
    2024-07-26 15:57 - 2024-07-26 16:05 - 000001287 _____ C:\Users\user\a6NJbBKuo.README.txt
    2024-07-26 15:57 - 2024-07-26 16:05 - 000001287 _____ C:\Users\a6NJbBKuo.README.txt
    2024-07-26 15:57 - 2024-07-26 16:05 - 000001287 _____ C:\a6NJbBKuo.README.txt
    AV: ESET Endpoint Security 5.0 (Disabled - Up to date) {19259FAE-8396-A113-46DB-15B0E7DFA289}
    AS: ESET Endpoint Antivirus 5.0 (Enabled - Up to date) {A2447E4A-A5AC-AE9D-7C6B-2EC29C58E834}
    AlternateDataStreams: C:\Users\user:id [32]
    AlternateDataStreams: C:\ProgramData\TEMP:CAD522C4 [123]
    FirewallRules: [{1D15B811-A3E4-4E05-8BBD-5AB9D93F94C8}] => (Allow) LPort=1688
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Антивирус ESET Endpoint Security 5.0 вероятно был установлен и удалён. Но удалён некорректно.
Переустановите или очистите следы по соотв. инструкции - Чистка системы после некорректного удаления антивируса.
 
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Исправьте по возможности:

Microsoft SQL Server 2008 (64-bit) Данная программа больше не поддерживается разработчиком.
Notepad++ (64-bit x64) v.8.6.8 Внимание! Скачать обновления
Microsoft Office, для дома и бизнеса 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft SQL Server 2008 Management Studio v.10.0.1600.22 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2008 Database Engine Shared v.10.0.1600.22 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2008 Common Files v.10.0.1600.22 Данная программа больше не поддерживается разработчиком.
Собственный клиент Microsoft SQL Server 2008 v.10.0.1600.22 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2008 Database Engine Services v.10.0.1600.22 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2008 Setup Support Files v.10.0.1794.0 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2008 RsFx Driver v.10.0.1600.22 Данная программа больше не поддерживается разработчиком.
Обозреватель Microsoft SQL Server 2008 v.10.0.1600.22 Данная программа больше не поддерживается разработчиком.
Политики Microsoft SQL Server 2008 v.10.0.1600.22 Данная программа больше не поддерживается разработчиком.
WinRAR 5.40 v.5.40 Внимание! Скачать обновления
Total Commander (Remove or Repair) v.8.50 Beta Внимание! Скачать обновления
Signal 6.12.0 v.6.12.0 Внимание! Скачать обновления
WhatsApp v.2.2140.7 Классическая версия приложения больше не поддерживается разработчиком.. Установите программу из Microsoft Store.
Zoom v.5.16.10 (26186) Внимание! Скачать обновления
Telegram Desktop v.5.2.3 Внимание! Скачать обновления
Viber v.15.3.0.5 Внимание! Скачать обновления
µTorrent v.3.5.0.44090 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 144 (64-bit) v.8.0.1440.1 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
K-Lite Mega Codec Pack 13.5.5 v.13.5.5 Внимание! Скачать обновления
Asian Language And Spelling Dictionaries Support For Adobe Acrobat Reader v.21.001.20135 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Mozilla Firefox (x64 uk) v.128.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 112.0.5197.30 v.112.0.5197.30 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Google Chrome v.127.0.6533.119 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.26 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
SpyHunter 5 v.5.17.6.335 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Читайте Рекомендации после удаления вредоносного ПО

Если есть возможность, сохраните зашифрованные файлы и папку C:\FRST. Не исключено, что в будущем появится расшифровка.
 
  • Like
Реакции: akok
Назад
Сверху Снизу