зашифровано с расширением .locked , (RAA)

1
RSS
Здравствуйте!!!!
Пришло письмо от Кристина Деличко <kdelichko@mail.ru> с "темой Согласование акта сверки ОАО ЕвроСпецСтрой", следующего содержания:

Ждем подписанный скан. Спасибо)
Вложения (1):
1. Акт .zip (Ссылка уже не работает)
С Ув. к Вашему делу
специалист отдела логистики
ООО ЕвроСпецСтрой

скачали этот акт (оригинал есть в наличии), запустили его а он зашифровал большинство файлов и приделал расширение *.locker
Вот записка о выкупе:
 
Нашёл разбор этого вируса, но там мне помочь не смогли...

Помогите, пожалуйста, расшифровать файлы
Изменено: Bdfy Rekfuby - 12.09.2016 07:17:10
ссылку на файл шифратора уберите из сообщения.
по расшифровке:
подготовьте тело шифратора (js из вложения), архив с зашифрованными копиями файлов, + архив с чистыми копиями файлов (если есть) +
записка о выкупе, + логи из этой утилиты:
ESET log coolector
https://www.esetnod32.ru/download/utilities/log_collector/
при наличии лицензии на антивирус ESET вы можете отправить запрос на расшифровку в support@esetnod32.ru

так же добавьте образ автозапуска системы для очистки ее от остатков вирусных тел
Цитата
santy написал:
по расшифровке:
подготовьте тело шифратора (js из вложения), архив с зашифрованными копиями файлов, + архив с чистыми копиями файлов (если есть) +
записка о выкупе, + логи из этой утилиты:
ESET log coolector
https://www.esetnod32.ru/download/utilities/log_collector/
при наличии лицензии на антивирус ESET вы можете отправить запрос на расшифровку в support@esetnod32.ru

так же добавьте образ автозапуска системы для очистки ее от остатков вирусных тел
вот как уже неделя прошла, а в от ESET нет ответа. Пришло сообщение, что мой запрос принят и под таким то номером и тишина.
Поддержит ли ESET своих корпоративных клиентов? Решит ли нашу проблему?  
Цитата
Bdfy Rekfuby написал:
Поддержит ли ESET своих корпоративных клиентов? Решит ли нашу проблему?

Вопрос не в поддержке, а возможности расшифровки, насколько я знаю только возможности пока нет.
Зашифрованные файлы пересылаются в антивирусную лабораторию и для анализа нужно время.
Изменено: zloyDi - 12.09.2016 07:17:10
Здравствуйте! Помогите пожалуйста поймали вирус 15,08,2016. Пришло на  почту письмо с файлом типа .rar Зашифровал все файлы типа  .doc .xls  .rar и тд.Файлы содержащие всю информации о вирусе https://yadi.sk/d/WkFhbts8uDzCG. Могу также скинуть сам вирус.
Кирилл,
файл вируса в архиве с паролем infected отправьте в почту safety@chklst.ru
по зашифрованной системе:
добавьте образ автозапуска системы.
Цитата
santy написал:
Кирилл,
файл вируса в архиве с паролем infected отправьте в почту safety@chklst.ru
по зашифрованной системе:
добавьте образ автозапуска системы.
Образ автозапуска систеы сделал вот ссылка https://yadi.sk/d/JjV1Rpw-uJFct Файл вируса в архиве отправил вам на почту
Кирилл,
в RAA исполняемым шифратором является сам js, который самоудаляется после завершения шифрования.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCALLOW\SEARCHGO\SEARCHGO.DLL

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGLCIMEPNLJOHOLDMJCHKLOAFKGGFOIJH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\PROGRAM FILES\TORRENT SEARCH\IEEF

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
1
Читают тему (гостей: 1)