// Ransomware Negotiation Transcript

lockbit3.0 Ransomware Negotiation — OMS Components

66Messages
35 daysDuration
UnknownInitial Demand
PaidOutcome
// Context

About This Negotiation

This transcript documents a lockbit3.0 ransomware negotiation with OMS Components. The negotiation consisted of 66 messages exchanged over 35 days, beginning on 2023-02-28.

The initial ransom demand was Unknown. The negotiation resulted in a confirmed payment.

// Primary Source

Full Transcript — Verbatim

Reproduced from Casualtek's Ransomchats archive. URLs have been redacted.

Victim names are shown only where the breach was publicly reported in mainstream media. Any organisation wishing their name redacted can contact us at enquiries@binary-response.com — we will act promptly.
[OMS Components] — 28.02.2023 10:28:36 UTC — Message 1/66
[Chat started]
[OMS Components] — 28.02.2023 10:29:25 UTC — Message 2/66
Hi tell me how much!
[lockbit3.0] — 28.02.2023 11:07:08 UTC — Message 3/66
Hello. Thanks for fast answer. I think you already understood what happened. All your infrastructure was encrypted, also we extracted all your sensitive information about company/employees/billings and etc. After inspecting your docs we setted up our price - 500.000$. This price include few things: 1. Decryption tool; 2. Proofs of deletion files; 3. Full attack chain to fix your vulnerabilities in network.
[lockbit3.0] — 28.02.2023 11:09:47 UTC — Message 4/66
We accept just cryptocurrencies, you can choice, usual Bitcoin or more confidential for both - Monero.
[lockbit3.0] — 28.02.2023 11:12:41 UTC — Message 5/66
You can google our name and im sure you will not find incidents where we didn't complete our promise. Because we care about our reputation. So you can be calm.
[lockbit3.0] — 28.02.2023 11:14:48 UTC — Message 6/66
Otherwise everyone will can to download all your data from our blog, and you will need to restore your network from 0.
[OMS Components] — 28.02.2023 13:46:13 UTC — Message 7/66
guys...I try to decrypt one single file and it fails....mhmmmmm
[OMS Components] — 28.02.2023 13:46:21 UTC — Message 8/66
File: [Immagine 2023-02-28 145352.png]
[lockbit3.0] — 28.02.2023 13:54:13 UTC — Message 9/66
What file you trying?
[OMS Components] — 28.02.2023 14:44:38 UTC — Message 10/66
File: [index.php.lockbit]
[OMS Components] — 28.02.2023 14:45:11 UTC — Message 11/66
50kb is a ridicolous size
[lockbit3.0] — 28.02.2023 15:28:39 UTC — Message 12/66
I'll find out what the problem is, wait please. You will get answer soon as possible.
[OMS Components] — 01.03.2023 09:53:50 UTC — Message 13/66
I'm waiting....
[lockbit3.0] — 01.03.2023 12:56:43 UTC — Message 14/66
Yeah, it's our fault, there's problem with trial decrypt's and we trying to repair this. While you are waiting you can view at listing of stolen files. For your calm you can choice any few files and i will send it here. Im so sorry for this problem, we doing all to fix this asap.
[lockbit3.0] — 01.03.2023 13:04:13 UTC — Message 15/66
[REDACTED URL] Password: !_OSM_!
[lockbit3.0] — 03.03.2023 17:56:50 UTC — Message 16/66
Hello, have you read the list of stolen files? As for the test decrypt, send us 10-20 small encrypted files and we'll see what's wrong. If you have contacted recovery specialists, it's a waste of time, they usually only make the overall situation worse and make it harder to communicate. We are waiting for the files.
[lockbit3.0] — 06.03.2023 21:59:34 UTC — Message 17/66
Hello. We still have not received an archive of files from you to check. We are running out of time, we are ready to help if you cooperate. We also want to let you know that in 24 hours all the stolen information will be uploaded to the servers, and in another 48 hours, it will be published on our blog. We need 20-30 files up to 50kb for verification, please prepare an archive and give it to us if you plan to solve the problem.
[OMS Components] — 07.03.2023 08:28:33 UTC — Message 18/66
Hello, anyone speaks in Italian? It would be much easier for us.
[OMS Components] — 07.03.2023 08:28:55 UTC — Message 19/66
We are trying to find 20-30 little files up to 50 kb but all the file are bigger. Can you help us on finding such little file?
[OMS Components] — 07.03.2023 08:29:19 UTC — Message 20/66
We are trying to find 20-30 little files up to 50 kb but all files are bigger. Can you help us on finding such little file?
[lockbit3.0] — 07.03.2023 10:35:01 UTC — Message 21/66
Ciao. Puoi prendere meno di 30 file, abbiamo bisogno di alcuni file fino a 50kb, anche se sono meno di quelli richiesti. Questi possono essere assolutamente qualsiasi file.
[OMS Components] — 07.03.2023 12:03:46 UTC — Message 22/66
In italiano va molto meglio grazie. Ho cercato file piccoli ma non ne trovo, anzi vedo solo file molto grandi che corrispondono alle macchine virtuali criptate. Ti mando uno di quelli?
[lockbit3.0] — 07.03.2023 13:39:19 UTC — Message 23/66
Osservare attentamente. Potrebbero esserci file di icone, file di configurazione, script, file ausiliari. Cercateli, è nel vostro interesse. Non è necessario inviare una macchina virtuale). Avete provato a ripristinare i file? Siate consapevoli che potreste romperli se li mettete nel decriptatore di qualcun altro.
[lockbit3.0] — 07.03.2023 13:42:26 UTC — Message 24/66
Accedere al NAS utilizzando SFTP e cercare lì, saranno anche adatti per i test.
[lockbit3.0] — 07.03.2023 14:48:09 UTC — Message 25/66
Se non riuscite a trovare nulla, potete inviare i file di log delle macchine virtuali, anche se pesano un po' di più - comprimeteli in un archivio e inviateli a noi.
[OMS Components] — 08.03.2023 11:05:30 UTC — Message 26/66
File: [Screenshot_nas1.png]
[OMS Components] — 08.03.2023 11:06:34 UTC — Message 27/66
negli screenshot del nas puoi vedere che non ci sono file fino a 50kb
[OMS Components] — 08.03.2023 11:07:34 UTC — Message 28/66
File: [Screenshot_nas2.png]
[OMS Components] — 08.03.2023 11:09:46 UTC — Message 29/66
File: [Screenshot_nas3.png]
[OMS Components] — 08.03.2023 11:13:03 UTC — Message 30/66
File: [Screenshot_nas4.png]
[lockbit3.0] — 08.03.2023 14:00:02 UTC — Message 31/66
"BACKUP STORICO OMSSBS1.vbm" - 9.99kb Si può provare a decifrarlo con un test, se non funziona, inviatemelo
[OMS Components] — 09.03.2023 21:36:03 UTC — Message 32/66
File: [BACKUP STORICO OMSSBS1.vbm.lockbit]
[OMS Components] — 10.03.2023 13:56:14 UTC — Message 33/66
potete decriptare il file? da errore se lo carico nella finestra del trial decrypt
[lockbit3.0] — 10.03.2023 14:17:06 UTC — Message 34/66
OK darò un'occhiata, allora facciamo in un altro modo. Mettere questi file in un archivio: Tutti i file della cartella "VeeamConfigBackup> VEEAM-SRV", che hanno una dimensione di ~5MB e sono chiamati "VEEAM_SRV_2023-02-24_10-00-14.bco.lockbit". Anche il file "BACKUP STORICO OMSSBS1.vbm.lockbit", e il file "BACKUP DATACENTER.vbm.lockbit". Caricateli qui ( [REDACTED URL] )e datemi il link
[OMS Components] — 10.03.2023 14:56:05 UTC — Message 35/66
ok file caricati, psw: 0z&mVMq(FClne(MI&R%4uRpWX
[OMS Components] — 10.03.2023 15:01:03 UTC — Message 36/66
Download Link: [REDACTED URL]
[OMS Components] — 10.03.2023 15:03:18 UTC — Message 37/66
la psw è questa: 0z&mVMq(FClne(MI&R%4uRpWX non quella mandata in precedenza
[lockbit3.0] — 10.03.2023 15:42:58 UTC — Message 38/66
Avete inviato password identiche. Entrambi non si adattano
[OMS Components] — 10.03.2023 15:43:59 UTC — Message 39/66
Questà è la psw Ab5obO%#eaMpymVnyT%vfV*bX
[lockbit3.0] — 10.03.2023 16:08:08 UTC — Message 40/66
Ok. Vedrò qual è il problema e riferirò in merito
[lockbit3.0] — 12.03.2023 13:25:44 UTC — Message 41/66
give me please uname -a command in cmd
[lockbit3.0] — 14.03.2023 14:31:49 UTC — Message 42/66
Salve. Abbiamo bisogno della sua risposta e della sua collaborazione, perché ci sta mettendo così tanto a rispondere?
[lockbit3.0] — 14.03.2023 14:36:34 UTC — Message 43/66
Non vogliamo farvi pressione, chiamarvi e ricattarvi, non è professionale. Se volete risolvere il problema, siete pregati di collaborare con noi, altrimenti potete lasciare la chat e farvi gli affari vostri, mentre noi ci occupiamo dei nostri: pubblicare e distribuire informazioni rubate.
[OMS Components] — 14.03.2023 15:47:47 UTC — Message 44/66
[~] # uname -a Linux NAS-SRV 3.4.6 #1 Tue Oct 6 10:10:48 CST 2020 armv5tel unknown
[OMS Components] — 14.03.2023 15:49:03 UTC — Message 45/66
Abbiamo bisogno di sapere con certezza che potete decriptare i file. Siamo pronti per disporre il pagamento. Forniteci la prova del decrypt rapidamente per piacere!
[lockbit3.0] — 14.03.2023 18:26:28 UTC — Message 46/66
Wait please
[lockbit3.0] — 15.03.2023 19:30:38 UTC — Message 47/66
Salve. Abbiamo controllato i vostri file, la decriptazione è completamente possibile. Abbiamo esaminato tutti i file forniti e siamo certi che tutto funziona. Il nostro capo fornirà i file decriptati a breve, si prega di attendere.
[lockbit3.0] — 16.03.2023 21:32:59 UTC — Message 48/66
[REDACTED URL]
[lockbit3.0] — 16.03.2023 21:33:02 UTC — Message 49/66
Decrypt done
[lockbit3.0] — 17.03.2023 15:50:40 UTC — Message 50/66
Ciao. Abbiamo soddisfatto la vostra richiesta e mostrato la possibilità di decriptare i file, come potete vedere qui sopra. Attendiamo la sua risposta.
[OMS Components] — 19.03.2023 21:40:51 UTC — Message 51/66
ma ci state prendendo in giro???? inviate un file protetto da password senza la password? Forse non avete capito che per noi è fondamentale avere la prova che potete decriptare i file!! Ad oggi non avete fornito alcuna prova convincente.
[lockbit3.0] — 19.03.2023 22:04:30 UTC — Message 52/66
password 8Zo6#^4@GOn@JpKC*ghH
[lockbit3.0] — 19.03.2023 22:08:13 UTC — Message 53/66
Mantenere la calma. Non è un errore, non abbiamo volutamente dato subito la password per testare il vostro interesse per l'archivio e per vedere quando lo visualizzerete. Noi siamo online e vediamo tutto e siamo pronti ad aiutarvi non appena ne avrete bisogno. La password è qui sopra, controllate i vostri file.
[lockbit3.0] — 19.03.2023 23:00:45 UTC — Message 54/66
Siete riusciti a controllare i vostri file?
[lockbit3.0] — 20.03.2023 18:44:40 UTC — Message 55/66
aspettiamo di sentirvi in questo momento.
[lockbit3.0] — 21.03.2023 15:31:31 UTC — Message 56/66
La vostra scelta di rimanere in silenzio è sbagliata. Stiamo iniziando a preparare le informazioni rubate per la pubblicazione sul blog, avete sempre meno tempo per risolvere i vostri problemi.
[OMS Components] — 21.03.2023 21:19:09 UTC — Message 57/66
abbiamo letto il file ma non troviamo modo per essere sicuri che sia un documento aziendale, ne possiamo avere la certezza che il file inviatoci sia effettivamente quello criptato. Vi chiediamo di fare la prova su un documento come un disegno o altro che sia effettivamente patrimonio aziendale. Abbiamo bisogno di essere sicuri, prima di pagare, che potete veramente decriptare i nostri file.
[lockbit3.0] — 21.03.2023 22:54:51 UTC — Message 58/66
Il nostro capo ha accettato di eseguire un altro recupero di prova. Vi preghiamo di fornire al più presto alcuni piccoli file.
[OMS Components] — 22.03.2023 17:49:05 UTC — Message 59/66
non troviamo file piccoli rappresentativi di disegni o documenti riconoscibili. Ci potete aiutare?
[lockbit3.0] — 22.03.2023 21:10:17 UTC — Message 60/66
Abbiamo già decifrato i vostri file VBM, sono unici e non possono essere presi da un altro sistema. ( [REDACTED URL] ) Abbiamo crittografato NAS ed ESXI. Tutto ciò che potete fare in aggiunta è cercare di trovare alcuni file di registro della macchina virtuale o del NAS unici e inviarceli. In ogni caso avete 36 ore di tempo per pensarci, poi inizieremo a pubblicare i dati della vostra azienda sul nostro blog.
[lockbit3.0] — 24.03.2023 16:18:05 UTC — Message 61/66
Il tempo sta per scadere, avete un'offerta da farci? Sappiate che temporeggiare nella speranza di ottenere un prezzo inferiore non funzionerà. Se non collaborate con noi, rimuoveremo il decrittore e pubblicheremo gratuitamente i vostri dati sul nostro blog. Abbiamo bisogno di una risposta forte da parte vostra, affrettatevi.
[OMS Components] — 28.03.2023 12:45:24 UTC — Message 62/66
Ci chiedete un’offerta ma noi non abbiamo alcuna certezza sia che voi abbiate il decrypt dei nostri dati sia che abbiate nostri dati da pubblicare. Avete dato un timeout di 36 che non avete rispettato a riprova che non siete professionali come dite. Abbiamo salvato la chat in cui riconoscete di avere problemi con il decrypt dei nostri dati e quella in cui ci avete date un timeout che non avete rispettato. Possiamo decidere se pubblicare queste informazioni in tutti i siti specializzati e farvi perdere credibilità oppure tenere questa informazione riservata. A voi la scelta: ci date il decrypt e i dati che dite di aver esfiltrato e noi manteniamo la riservatezza, oppure non lo fate e noi pubblichiamo tutto e nessuno crederà mai più alle vostre promesse di decriptare. A voi la scelta. Avete 24 ore.
[lockbit3.0] — 28.03.2023 13:14:35 UTC — Message 63/66
"Don't mistake my kindness for weakness. I am kind to everyone, but when someone is unkind to me, weak is not what you are going to remember about me." Nice, cheeky try, that's how companies die. Okay, let's play this game together. Be prepared to embarrass yourself in front of the whole world, be sure to include the First and Last Name of your system administrator, everyone will be interested to know who could not tell the difference between decrypted file or not, after that he is waiting for a brilliant career advancement. Before you embarrass yourself, you should study who we are. And think about whether you can shake our reputation, or will you have to find a new job? Good luck. Keep an eye on the blog.
[lockbit3.0] — 02.04.2023 12:42:09 UTC — Message 64/66
You'll see your company on our blog soon.
[lockbit3.0] — 04.04.2023 17:33:32 UTC — Message 65/66
Benvenuti a LockBit
[lockbit3.0] — 04.04.2023 17:33:51 UTC — Message 66/66
[REDACTED URL]
// Analysis

Analyst Observations

  • This transcript ends with a confirmed payment, though the final amount may not be explicitly stated in the chat.
  • LockBit 3.0 was the most prolific ransomware group of 2022-2023, responsible for more attacks than any other group. Their infrastructure was taken down by Operation Cronos in February 2024.
  • LockBit 3.0 threat actor profile — TTPs, ransom demands, and active campaigns.

Facing a Ransomware Demand?

Whether you choose to negotiate or refuse — having specialists in the room changes the outcome.

Contact Us Now Our Negotiations Service →