файлы зашифрованы с расширением .locky; *.zepto; *.odin; *.OSIRIS - Форум технической поддержки ESET NOD32

Сообщений: 1

Регистрация: 17.02.2016

Размещено 17.02.2016 11:45:44

Добрый день, прошу помощи.

Необходимо расшифровать файлы, которые в результате вирусного воздействия превратились в файлы с расширением .locky. Никакого дешифратора на данный момент в сети не нашел.
Please help.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.02.2016 12:21:16

Денис,
добавьте несколько зашифрованных файлов,
+
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
+
если сохранился источник заражения (а скорее всего это письмо с вложенным документом),
перешлите в почту [email protected] с паролем infected

судя по материалам BC расшифровки нет в настоящее время:

Цитата
A new ransomware has been discovered called Locky that encrypts your data using AES encryption and then demands .5 bitcoins to decrypt your files. Though the ransomware sounds like one named by my sons, there is nothing childish about it. It targets a large amount of file extensions and even more importantly, encrypts data on unmapped network shares. Encrypting data on unmapped network shares is trivial to code and the fact that we saw the recent DMA Locker with this feature and now in Locky, it is safe to say that it is going to become the norm. Like CryptoWall, Locky also completely changes the filenames for encrypted files to make it more difficult to restore the right data. At this time, there is no known way to decrypt files encrypted by Locky.

Цитата

A new ransomware has been discovered called Locky that encrypts your data using AES encryption and then demands .5 bitcoins to decrypt your files. Though the ransomware sounds like one named by my sons, there is nothing childish about it. It targets a large amount of file extensions and even more importantly, encrypts data on unmapped network shares. Encrypting data on unmapped network shares is trivial to code and the fact that we saw the recent DMA Locker with this feature and now in Locky, it is safe to say that it is going to become the norm. Like CryptoWall, Locky also completely changes the filenames for encrypted files to make it more difficult to restore the right data.

At this time, there is no known way to decrypt files encrypted by Locky.

детекты по нему такие:
https://www.virustotal.com/ru/file/ee6abe4a9530b78e997d9c28394356216778eaf2d46aa3503999e7d6bfbefe90/analysis/

Изменено: santy - 19.02.2016 09:03:59

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 18.02.2016

Размещено 18.02.2016 11:01:32

Добрый день проблема аналогичная. Что делать подскажите. Ждать дешифратора? Кто этим занимается какие прогнозы сроки итп. Можно ли работать на зараженном компе какие меры можно предпринять чтобы остальные пользователи сети на подхватили вирус и чтобы избежать проблем в будущем? Используем антивирусник MS.

Изменено: Павел Володин - 19.02.2016 09:03:59

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2016 11:53:59

Павел,
имейте ввиду, что Locky может шифрануть еще и сетевые папки, которые не подключены как диски, в общем все шары, которые найдет в сети.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\PASHA\DOWNLOADS\7Z922.EXE addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D4FC108506CA7A 64 Trojan.BPlug.1064 [DrWeb] zoo %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE delall %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE hide %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2014\УДАЛИТЬ ADOBE PHOTOSHOP CC 2014.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAM FILES (X86)\YTDOWNLOADER\YTDOWNLOADER.EXE delref %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС deldirex %SystemDrive%\USERS\АНТОН\APPDATA\ROAMING\VOPACKAGE deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\PASHA\DOWNLOADS\7Z922.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D4FC108506CA7A 64 Trojan.BPlug.1064 [DrWeb]

zoo %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE
delall %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE

hide %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2014\УДАЛИТЬ ADOBE PHOTOSHOP CC 2014.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\PROGRAM FILES (X86)\YTDOWNLOADER\YTDOWNLOADER.EXE

delref %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\АНТОН\APPDATA\ROAMING\VOPACKAGE

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 18.02.2016

Размещено 18.02.2016 12:01:29

Спасибо за предупреждение, но все сетевые папки уже зашифрованы ((. Что делать с этим? Да и по скрипту - зашифрованные файлы останутся после него? Я все таки надеюсь их расшифровать когда-нибудь.

Изменено: Павел Володин - 19.02.2016 09:03:59

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2016 12:05:16

вначале надо очистить систему, поскольку судя по образу шифратор у вас в автозапуске

Цитата
Полное имя C:\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE Имя файла EIASUS.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] Удовлетворяет критериям RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)] FILE.PROTECT (SKIP) (ФАЙЛ ~ ВОЗМОЖНО ЗАЩИЩЕННЫЙ ФАЙЛ)(1) [skip (0)] Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] Процесс 32-х битный Инф. о файле Не удается найти указанный файл. Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Файл Возможно защищенный файл Доп. информация на момент обновления списка pid = 4508 Pasha-PC\Pasha CmdLine "C:\Users\Pasha\AppData\Local\Temp\eiasus.exe" Процесс создан 10:04:41 [2016.02.18] С момента создания 02:41:31 parentid = 2132 C:\WINDOWS\EXPLORER.EXE CLOSE_WAIT 192.168.1.9:63394 <-> 195.154.241.208:80 CLOSE_WAIT 192.168.1.9:63540 <-> 46.4.239.76:80 CLOSE_WAIT 192.168.1.9:63674 <-> 85.25.149.246:80 Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-3527718930-2974141823-127104087-1000\Software\Microsoft\Windows\CurrentVersion\Run\Locky Locky C:\Users\Pasha\AppData\Local\Temp\eiasus.exe

Цитата

Полное имя C:\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE
Имя файла EIASUS.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]

Удовлетворяет критериям
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
FILE.PROTECT (SKIP) (ФАЙЛ ~ ВОЗМОЖНО ЗАЩИЩЕННЫЙ ФАЙЛ)(1) [skip (0)]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс 32-х битный
Инф. о файле Не удается найти указанный файл.
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Файл Возможно защищенный файл

Доп. информация на момент обновления списка
pid = 4508 Pasha-PC\Pasha
CmdLine "C:\Users\Pasha\AppData\Local\Temp\eiasus.exe"
Процесс создан 10:04:41 [2016.02.18]
С момента создания 02:41:31
parentid = 2132 C:\WINDOWS\EXPLORER.EXE
CLOSE_WAIT 192.168.1.9:63394 <-> 195.154.241.208:80
CLOSE_WAIT 192.168.1.9:63540 <-> 46.4.239.76:80
CLOSE_WAIT 192.168.1.9:63674 <-> 85.25.149.246:80

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-3527718930-2974141823-127104087-1000\Software\Microsoft\Windows\CurrentVersion\Run\Locky
Locky C:\Users\Pasha\AppData\Local\Temp\eiasus.exe

+
вышлите вложение письма, но только добавьте его в архиве с паролем infected

по расшифровке, скорее всего решения нет. Как только будет решение по данному шифратору, напишем на форуме.
рекомендую очистить систему, сохранить зашифрованные копии документов, и продолжать работу,
но уже с большим вниманием в электронным сообщениям.

поскольку вектор атак периодически меняется.
будьте внимательны с офисными документами из вложений электронной почты, которые при открытии просят вас разрешить запуск макросов.
это крайне подозрительная просьба. предупредите сотрудников, чтобы такие документы закрывали и удаляли.

-------------
надо сказать, что в данном случае более правдоподобная легенда,
файл сразу определяется как офисный документ с макросами,
поэтому логично выглядит предупреждение, о том что необходимо разрешить запуск макросов.

Изменено: santy - 19.02.2016 09:03:59

[ Как создать образ автозапуска? ]

файлы зашифрованы с расширением .locky; *.zepto; *.odin; *.OSIRIS , Locky

файлы зашифрованы с расширением .locky; .zepto; .odin; *.OSIRIS , Locky