Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением .locked , (RAA)

1
RSS
 
Bdfy Rekfuby
Bdfy Rekfuby
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 17.06.2016
Размещено 17.06.2016 13:27:09
Здравствуйте!!!!
Пришло письмо от Кристина Деличко <[email protected]> с "темой Согласование акта сверки ОАО ЕвроСпецСтрой", следующего содержания:

Ждем подписанный скан. Спасибо)
Вложения (1):
1. Акт .zip (Ссылка уже не работает)
С Ув. к Вашему делу
специалист отдела логистики
ООО ЕвроСпецСтрой

скачали этот акт (оригинал есть в наличии), запустили его а он зашифровал большинство файлов и приделал расширение *.locker
Вот записка о выкупе:
 
Нашёл разбор этого вируса, но там мне помочь не смогли...

Помогите, пожалуйста, расшифровать файлы
Изменено: Bdfy Rekfuby - 12.09.2016 07:17:10
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 17.06.2016 13:33:56
ссылку на файл шифратора уберите из сообщения.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 17.06.2016 14:51:49
по расшифровке:
подготовьте тело шифратора (js из вложения), архив с зашифрованными копиями файлов, + архив с чистыми копиями файлов (если есть) +
записка о выкупе, + логи из этой утилиты:
ESET log coolector
https://www.esetnod32.ru/download/utilities/log_collector/
при наличии лицензии на антивирус ESET вы можете отправить запрос на расшифровку в [email protected]

так же добавьте образ автозапуска системы для очистки ее от остатков вирусных тел
[ Как создать образ автозапуска? ]
 
Bdfy Rekfuby
Bdfy Rekfuby
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 17.06.2016
Размещено 27.06.2016 08:05:57
Цитата
santy написал:
по расшифровке:
подготовьте тело шифратора (js из вложения), архив с зашифрованными копиями файлов, + архив с чистыми копиями файлов (если есть) +
записка о выкупе, + логи из этой утилиты:
ESET log coolector
https://www.esetnod32.ru/download/utilities/log_collector/
при наличии лицензии на антивирус ESET вы можете отправить запрос на расшифровку в [email protected]

так же добавьте образ автозапуска системы для очистки ее от остатков вирусных тел
вот как уже неделя прошла, а в от ESET нет ответа. Пришло сообщение, что мой запрос принят и под таким то номером и тишина.
Поддержит ли ESET своих корпоративных клиентов? Решит ли нашу проблему?  
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.06.2016 11:19:29
Цитата
Bdfy Rekfuby написал:
Поддержит ли ESET своих корпоративных клиентов? Решит ли нашу проблему?

Вопрос не в поддержке, а возможности расшифровки, насколько я знаю только возможности пока нет.
Зашифрованные файлы пересылаются в антивирусную лабораторию и для анализа нужно время.
Изменено: zloyDi - 12.09.2016 07:17:10

 
Кирилл Андреев
Кирилл Андреев
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 15.08.2016
Размещено 15.08.2016 14:03:21
Здравствуйте! Помогите пожалуйста поймали вирус 15,08,2016. Пришло на  почту письмо с файлом типа .rar Зашифровал все файлы типа  .doc .xls  .rar и тд.Файлы содержащие всю информации о вирусе https://yadi.sk/d/WkFhbts8uDzCG. Могу также скинуть сам вирус.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.08.2016 15:32:47
Кирилл,
файл вируса в архиве с паролем infected отправьте в почту [email protected]
по зашифрованной системе:
добавьте образ автозапуска системы.
[ Как создать образ автозапуска? ]
 
Кирилл Андреев
Кирилл Андреев
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 15.08.2016
Размещено 18.08.2016 07:04:01
Цитата
santy написал:
Кирилл,
файл вируса в архиве с паролем infected отправьте в почту [email protected]
по зашифрованной системе:
добавьте образ автозапуска системы.
Образ автозапуска систеы сделал вот ссылка https://yadi.sk/d/JjV1Rpw-uJFct Файл вируса в архиве отправил вам на почту
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 18.08.2016 07:40:31
Кирилл,
в RAA исполняемым шифратором является сам js, который самоудаляется после завершения шифрования.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCALLOW\SEARCHGO\SEARCHGO.DLL

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGLCIMEPNLJOHOLDMJCHKLOAFKGGFOIJH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\PROGRAM FILES\TORRENT SEARCH\IEEF

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
 
1
Читают тему