файлы зашифрованы с расширением .locky; *.zepto; *.odin; *.OSIRIS , Locky

1
RSS
Добрый день, прошу помощи.

Необходимо расшифровать файлы, которые в результате вирусного воздействия превратились в файлы с расширением .locky. Никакого дешифратора на данный момент в сети не нашел.
Please help.  
Денис,
добавьте несколько зашифрованных файлов,
+
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
+
если сохранился источник заражения (а скорее всего это письмо с вложенным документом),
перешлите в почту safety@chklst.ru с паролем infected

судя по материалам BC расшифровки нет в настоящее время:

Цитата
A  new ransomware has been discovered called Locky that encrypts your data using AES encryption and then demands .5 bitcoins to decrypt your files.  Though the ransomware sounds like one named by my sons, there is nothing childish about it.  It targets a large amount of file extensions and even more importantly, encrypts data on unmapped network shares.  Encrypting data on unmapped network shares is trivial to code and the fact that we saw the recent DMA Locker with this feature and now in Locky, it is safe to say that it is going to become the norm.  Like CryptoWall, Locky also completely changes the filenames for encrypted files to make it more difficult to restore the right data.  

At this time, there is no known way to decrypt files encrypted by Locky.

детекты по нему такие:
https://www.virustotal.com/ru/file/ee6abe4a9530b78e997d9c28394356216778eaf2d46aa350­3999e7d6bfbefe90/analysis/
Изменено: santy - 19.02.2016 09:03:59
Добрый день проблема аналогичная. Что делать подскажите. Ждать дешифратора? Кто этим занимается какие прогнозы сроки итп. Можно ли работать на зараженном компе какие меры можно предпринять чтобы остальные пользователи сети на подхватили вирус и чтобы избежать проблем в будущем? Используем антивирусник MS.
Изменено: Павел Володин - 19.02.2016 09:03:59
Павел,
имейте ввиду, что Locky может шифрануть еще и сетевые папки, которые не подключены как диски, в общем все шары, которые найдет в сети.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\PASHA\DOWNLOADS\7Z922.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D4FC108506CA7A 64 Trojan.BPlug.1064 [DrWeb]

zoo %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE
delall %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE

hide %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2014\УДАЛИТЬ ADOBE PHOTOSHOP CC 2014.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\PROGRAM FILES (X86)\YTDOWNLOADER\YTDOWNLOADER.EXE

delref %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\АНТОН\APPDATA\ROAMING\VOPACKAGE

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту safety@chklst.ru  
------------
Спасибо за предупреждение, но все сетевые папки уже зашифрованы ((. Что делать с этим? Да и по скрипту - зашифрованные файлы останутся после него? Я все таки надеюсь их расшифровать когда-нибудь.
Изменено: Павел Володин - 19.02.2016 09:03:59
вначале надо очистить систему, поскольку судя по образу шифратор у вас в автозапуске

Цитата
Полное имя                  C:\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE
Имя файла                   EIASUS.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
FILE.PROTECT (SKIP)         (ФАЙЛ ~ ВОЗМОЖНО ЗАЩИЩЕННЫЙ ФАЙЛ)(1) [skip (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс                     32-х битный
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
Файл                        Возможно защищенный файл
                           
Доп. информация             на момент обновления списка
pid = 4508                  Pasha-PC\Pasha
CmdLine                     "C:\Users\Pasha\AppData\Local\Temp\eiasus.exe"
Процесс создан              10:04:41 [2016.02.18]
С момента создания          02:41:31
parentid = 2132             C:\WINDOWS\EXPLORER.EXE
CLOSE_WAIT                  192.168.1.9:63394 <-> 195.154.241.208:80
CLOSE_WAIT                  192.168.1.9:63540 <-> 46.4.239.76:80
CLOSE_WAIT                  192.168.1.9:63674 <-> 85.25.149.246:80
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-3527718930-2974141823-127104087-1000\Software\Microsoft\Windows\CurrentVersion\Run\Locky
Locky                       C:\Users\Pasha\AppData\Local\Temp\eiasus.exe

+
вышлите вложение письма, но только добавьте его в архиве с паролем infected

по расшифровке, скорее всего решения нет.  Как только будет решение по данному шифратору, напишем на форуме.
рекомендую очистить систему, сохранить зашифрованные копии документов, и продолжать работу,
но уже с большим вниманием в электронным сообщениям.

поскольку вектор атак периодически меняется.
будьте внимательны с офисными документами из вложений электронной почты, которые при открытии просят вас разрешить запуск макросов.
это крайне подозрительная просьба. предупредите сотрудников, чтобы такие документы закрывали и удаляли.

-------------
надо сказать, что в данном случае более правдоподобная легенда,
файл сразу определяется как офисный документ с макросами,
поэтому логично выглядит предупреждение, о том что необходимо разрешить запуск макросов.
Изменено: santy - 19.02.2016 09:03:59
1
Читают тему (гостей: 1)