Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано в lockdir

RSS
 
morphy
morphy
Пользователь
Сообщений: 60
Баллов: 48
Регистрация: 16.03.2010
Размещено 05.01.2012 14:56:01
Доброго времени суток.
Сегодня ко мне обратились с такой проблемой:
Зашифрованы папки, в них лежат файлы lockdir.exe, desktop.ini, файл png (с вымогательским текстом) и Thumbs.ms - это каталог в котором находятся файлы с расширением RN.
Может кто знает как расшифровать файлы?
Изменено: morphy - 17.06.2016 11:12:13

Ответы

Пред. 1 2 3 4 5 ... 7 След.
 
uryvaevgn
uryvaevgn
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 01.03.2012
Размещено 01.03.2012 14:23:21
Тот, что я отправил во вложении ранее не подходит?

Как может называться такой вирус? Сейчас проверю все карантины.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 01.03.2012 14:29:27
FileCoder.Q - основное название.
Ищите оринал письма, где был этот файл.
Изменено: zloyDi - 17.06.2016 11:15:02

 
uryvaevgn
uryvaevgn
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 01.03.2012
Размещено 05.03.2012 00:12:13
Проблема снята, всем спасибо!

Связались с вымогателями, выслали им пару файлов для разблокировки, они их вернули расшифрованными.
После этого были перечислены деньги 2500 руб. В ответ пришло письмо с кодом разблокировки и ссылкой на вирус.

Запуск вируса повторно заражает машину, после чего требует код. Присланный код подошел.

Единственное - вирус не делает ассоциаций с расширением файла, которые закодирует. В письме было указано "после этого открываете любой зашифрованный файл, появитя окно с текcтом". Оно не появляется. Надо запускать повторно файл вируса.
Разблокировка прошла успешно. Поиск файлов с расширением .LOCKDIR дал нулевой результат. Проверка на вирусы после разблокировки может найти тело вируса где-нибудь в TEMP-каталоге.

Резюме - конкретно эти вымогатели присылают корректный код и позволяют спасти данные.

К сообщению прикладываю пару скриншотов, может кому-то поможет.
http://narod.ru/disk/42760602001.61717f91307d3ba50632cbf257fa357f/unlock.rar.html
Изменено: uryvaevgn - 17.06.2016 11:15:02
 
Nabludatel
Nabludatel
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 12.03.2012
Размещено 12.03.2012 13:03:16
Подцепил такую-же дичь :cry:  зашифровал все диски (5 штук) на системном почти все кроме системных папок, похоже зря но просканил CureITом все что он нашел удалил, Был файл lockdir.exe и какие-то еще. На дисках появилась папка Thumbs.ms в которой есть все мои файлы но они зашифрованы, возможно ли что-то сделать, данных очень много. Зашифрованные файлы с расширением RN. так же есть картинка "выход есть.png" где требуют отправить запрос на адрем lewis738f@yahoo.com с номером 773629 ну и купить какой-то пакет, в общем дальше по сценарию... Windows 7 64. Прошу помощи...
прилагается восстановленный файл локдир, пара файлов зашифрованных, картинка с вымогательством
http://files.mail.ru/6T76FY
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 12.03.2012 13:57:00
Nabludatel, нужен образец самого шифратора. Проверьте карантин на наличие Filecoder.Q . Если Вы получали подозрительные письма с вложениями, скорее всего вложение и есть шифратор.
ESET Technical Support
 
Nabludatel
Nabludatel
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 12.03.2012
Размещено 12.03.2012 14:25:36
Цитата
Валентин пишет:
Nabludatel , нужен образец самого шифратора. Проверьте карантин на наличие Filecoder.Q . Если Вы получали подозрительные письма с вложениями, скорее всего вложение и есть шифратор.

В карантине нет, сносил все DrWebовским CureITом, сам дирлок тоже удалился, удалось выудить его восстанавливалкой удаленных файлов. может если бы знать имя удастся найти и восстановить шифратор? из него возможно будет получить пароль? Кстати стоял нод самая последняя версия с сайта,все было включено и фаерволл и защита, и как то эта дичь всетаки заскочила. Может еще какие файлы могут понадобиться все готов выложить. Так-же есть лог проверки CureIT
Изменено: Nabludatel - 17.06.2016 11:14:13
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 12.03.2012 15:02:59
Цитата
Nabludatel пишет:
и как то эта дичь всетаки заскочила
Как, как, а для чего HIPS сделали, не для красоты же. Работал бы HIPS в интерактивном режиме, были бы запросы на доступ к файловой системе.
Плюс уже 100 раз здесь говорили, но как об стену: запускайте все подозрительные файлы (с любым расширением) в песочнице (например, в том же Sandboxie).
Интернет уже не игрушка, ежегодный ущерб от различного зверья оценивается в сотни миллиардов долларов. Так что думайте сначала головой, а уже потом что-то нажимайте.
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 12.03.2012 16:50:01
Nabludatel, ответил в личные сообщения.
ESET Technical Support
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 12.03.2012 16:58:11
Цитата
marshal64 пишет:
Работал бы HIPS в интерактивном режиме, были бы запросы на доступ к файловой системе
если бы он в интерактивном режиме работал все время - человек с ума сошел бы через 2 дня.
Правильно заданный вопрос - это уже половина ответа
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 12.03.2012 19:16:36
Jokerok7 харе умничать, ждите тихо в своей теме и не лезьте куда Вас не просят.
Еще раз и помощи будете ждать на другом форуме.
 
Пред. 1 2 3 4 5 ... 7 След.
Читают тему