зашифровано в lockdir

RSS
Доброго времени суток.
Сегодня ко мне обратились с такой проблемой:
Зашифрованы папки, в них лежат файлы lockdir.exe, desktop.ini, файл png (с вымогательским текстом) и Thumbs.ms - это каталог в котором находятся файлы с расширением RN.
Может кто знает как расшифровать файлы?
Изменено: morphy - 17.06.2016 11:12:13

Ответы

Тот, что я отправил во вложении ранее не подходит?

Как может называться такой вирус? Сейчас проверю все карантины.
FileCoder.Q - основное название.
Ищите оринал письма, где был этот файл.
Изменено: zloyDi - 17.06.2016 11:15:02

Проблема снята, всем спасибо!

Связались с вымогателями, выслали им пару файлов для разблокировки, они их вернули расшифрованными.
После этого были перечислены деньги 2500 руб. В ответ пришло письмо с кодом разблокировки и ссылкой на вирус.

Запуск вируса повторно заражает машину, после чего требует код. Присланный код подошел.

Единственное - вирус не делает ассоциаций с расширением файла, которые закодирует. В письме было указано "после этого открываете любой зашифрованный файл, появитя окно с текcтом". Оно не появляется. Надо запускать повторно файл вируса.
Разблокировка прошла успешно. Поиск файлов с расширением .LOCKDIR дал нулевой результат. Проверка на вирусы после разблокировки может найти тело вируса где-нибудь в TEMP-каталоге.

Резюме - конкретно эти вымогатели присылают корректный код и позволяют спасти данные.

К сообщению прикладываю пару скриншотов, может кому-то поможет.
http://narod.ru/disk/42760602001.61717f91307d3ba50632cbf257fa357f/unlock.rar.html
Изменено: uryvaevgn - 17.06.2016 11:15:02
Подцепил такую-же дичь :cry:  зашифровал все диски (5 штук) на системном почти все кроме системных папок, похоже зря но просканил CureITом все что он нашел удалил, Был файл lockdir.exe и какие-то еще. На дисках появилась папка Thumbs.ms в которой есть все мои файлы но они зашифрованы, возможно ли что-то сделать, данных очень много. Зашифрованные файлы с расширением RN. так же есть картинка "выход есть.png" где требуют отправить запрос на адрем lewis738f@yahoo.com с номером 773629 ну и купить какой-то пакет, в общем дальше по сценарию... Windows 7 64. Прошу помощи...
прилагается восстановленный файл локдир, пара файлов зашифрованных, картинка с вымогательством
http://files.mail.ru/6T76FY
Nabludatel, нужен образец самого шифратора. Проверьте карантин на наличие Filecoder.Q . Если Вы получали подозрительные письма с вложениями, скорее всего вложение и есть шифратор.
ESET Technical Support
Цитата
Валентин пишет:
Nabludatel , нужен образец самого шифратора. Проверьте карантин на наличие Filecoder.Q . Если Вы получали подозрительные письма с вложениями, скорее всего вложение и есть шифратор.

В карантине нет, сносил все DrWebовским CureITом, сам дирлок тоже удалился, удалось выудить его восстанавливалкой удаленных файлов. может если бы знать имя удастся найти и восстановить шифратор? из него возможно будет получить пароль? Кстати стоял нод самая последняя версия с сайта,все было включено и фаерволл и защита, и как то эта дичь всетаки заскочила. Может еще какие файлы могут понадобиться все готов выложить. Так-же есть лог проверки CureIT
Изменено: Nabludatel - 17.06.2016 11:14:13
Цитата
Nabludatel пишет:
и как то эта дичь всетаки заскочила
Как, как, а для чего HIPS сделали, не для красоты же. Работал бы HIPS в интерактивном режиме, были бы запросы на доступ к файловой системе.
Плюс уже 100 раз здесь говорили, но как об стену: запускайте все подозрительные файлы (с любым расширением) в песочнице (например, в том же Sandboxie).
Интернет уже не игрушка, ежегодный ущерб от различного зверья оценивается в сотни миллиардов долларов. Так что думайте сначала головой, а уже потом что-то нажимайте.
Nabludatel, ответил в личные сообщения.
ESET Technical Support
Цитата
marshal64 пишет:
Работал бы HIPS в интерактивном режиме, были бы запросы на доступ к файловой системе
если бы он в интерактивном режиме работал все время - человек с ума сошел бы через 2 дня.
Правильно заданный вопрос - это уже половина ответа
Jokerok7 харе умничать, ждите тихо в своей теме и не лезьте куда Вас не просят.
Еще раз и помощи будете ждать на другом форуме.

Читают тему (гостей: 4)