Форум esetnod32.ru [тема: зашифровано с расширением .locked] http://forum.esetnod32.ru Новое в теме зашифровано с расширением .locked форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 16 Apr 2026 09:35:26 +0300 зашифровано с расширением .locked зашифровано с расширением .locked (RAA) в форуме Шифровальщики файлов и подбор дешифраторов.
Кирилл,
в RAA исполняемым шифратором является сам js, который самоудаляется после завершения шифрования.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCALLOW\SEARCHGO\SEARCHGO.DLL

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGLCIMEPNLJOHOLDMJCHKLOAFKGGFOIJH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\PROGRAM FILES\TORRENT SEARCH\IEEF

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
18.08.2016 07:40:31, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13496/message94505/ http://forum.esetnod32.ru/messages/forum35/topic13496/message94505/ Thu, 18 Aug 2016 07:40:31 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .locked зашифровано с расширением .locked (RAA) в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
Кирилл,
файл вируса в архиве с паролем infected отправьте в почту safety@chklst.ru
по зашифрованной системе:
добавьте образ автозапуска системы.
=============
Образ автозапуска систеы сделал вот ссылка https://yadi.sk/d/JjV1Rpw-uJFct Файл вируса в архиве отправил вам на почту
18.08.2016 07:04:01, Кирилл Андреев.]]> http://forum.esetnod32.ru/messages/forum35/topic13496/message94504/ http://forum.esetnod32.ru/messages/forum35/topic13496/message94504/ Thu, 18 Aug 2016 07:04:01 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .locked зашифровано с расширением .locked (RAA) в форуме Шифровальщики файлов и подбор дешифраторов.
Кирилл,
файл вируса в архиве с паролем infected отправьте в почту safety@chklst.ru
по зашифрованной системе:
добавьте образ автозапуска системы.
15.08.2016 15:32:47, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13496/message94444/ http://forum.esetnod32.ru/messages/forum35/topic13496/message94444/ Mon, 15 Aug 2016 15:32:47 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .locked зашифровано с расширением .locked (RAA) в форуме Шифровальщики файлов и подбор дешифраторов.
Здравствуйте! Помогите пожалуйста поймали вирус 15,08,2016. Пришло на  почту письмо с файлом типа .rar Зашифровал все файлы типа  .doc .xls  .rar и тд.Файлы содержащие всю информации о вирусе https://yadi.sk/d/WkFhbts8uDzCG. Могу также скинуть сам вирус.
15.08.2016 14:03:21, Кирилл Андреев.]]> http://forum.esetnod32.ru/messages/forum35/topic13496/message94441/ http://forum.esetnod32.ru/messages/forum35/topic13496/message94441/ Mon, 15 Aug 2016 14:03:21 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .locked зашифровано с расширением .locked (RAA) в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Bdfy Rekfuby написал:
Поддержит ли ESET своих корпоративных клиентов? Решит ли нашу проблему?
=============

Вопрос не в поддержке, а возможности расшифровки, насколько я знаю только возможности пока нет.
Зашифрованные файлы пересылаются в антивирусную лабораторию и для анализа нужно время.
27.06.2016 11:19:29, zloyDi.]]> http://forum.esetnod32.ru/messages/forum35/topic13496/message93606/ http://forum.esetnod32.ru/messages/forum35/topic13496/message93606/ Mon, 27 Jun 2016 11:19:29 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .locked зашифровано с расширением .locked (RAA) в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
по расшифровке:
подготовьте тело шифратора (js из вложения), архив с зашифрованными копиями файлов, + архив с чистыми копиями файлов (если есть) +
записка о выкупе, + логи из этой утилиты:
ESET log coolector
https://www.esetnod32.ru/download/utilities/log_collector/
при наличии лицензии на антивирус ESET вы можете отправить запрос на расшифровку в support@esetnod32.ru

так же добавьте образ автозапуска системы для очистки ее от остатков вирусных тел
=============
вот как уже неделя прошла, а в от ESET нет ответа. Пришло сообщение, что мой запрос принят и под таким то номером и тишина.
Поддержит ли ESET своих корпоративных клиентов? Решит ли нашу проблему?  
27.06.2016 08:05:57, Bdfy Rekfuby.]]> http://forum.esetnod32.ru/messages/forum35/topic13496/message93605/ http://forum.esetnod32.ru/messages/forum35/topic13496/message93605/ Mon, 27 Jun 2016 08:05:57 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .locked зашифровано с расширением .locked (RAA) в форуме Шифровальщики файлов и подбор дешифраторов.
по расшифровке:
подготовьте тело шифратора (js из вложения), архив с зашифрованными копиями файлов, + архив с чистыми копиями файлов (если есть) +
записка о выкупе, + логи из этой утилиты:
ESET log coolector
https://www.esetnod32.ru/download/utilities/log_collector/
при наличии лицензии на антивирус ESET вы можете отправить запрос на расшифровку в support@esetnod32.ru

так же добавьте образ автозапуска системы для очистки ее от остатков вирусных тел
17.06.2016 14:51:49, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13496/message93540/ http://forum.esetnod32.ru/messages/forum35/topic13496/message93540/ Fri, 17 Jun 2016 14:51:49 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .locked зашифровано с расширением .locked (RAA) в форуме Шифровальщики файлов и подбор дешифраторов.
ссылку на файл шифратора уберите из сообщения.
17.06.2016 13:33:56, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13496/message93537/ http://forum.esetnod32.ru/messages/forum35/topic13496/message93537/ Fri, 17 Jun 2016 13:33:56 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .locked зашифровано с расширением .locked (RAA) в форуме Шифровальщики файлов и подбор дешифраторов.
Здравствуйте!!!!
Пришло письмо от Кристина Деличко <kdelichko@mail.ru> с "темой Согласование акта сверки ОАО ЕвроСпецСтрой", следующего содержания:

Ждем подписанный скан. Спасибо)
Вложения (1):
1. Акт .zip (Ссылка уже не работает)
С Ув. к Вашему делу
специалист отдела логистики
ООО ЕвроСпецСтрой

скачали этот акт (оригинал есть в наличии), запустили его а он зашифровал большинство файлов и приделал расширение *.locker
Вот записка о выкупе:
[FILE ID=98056]
Нашёл разбор этого вируса, но там мне помочь не смогли...

Помогите, пожалуйста, расшифровать файлы
avz_log_Alena.txt

Зашифрованные файлы.rar
Записка о выкупе.rar
17.06.2016 13:27:09, Bdfy Rekfuby.]]> http://forum.esetnod32.ru/messages/forum35/topic13496/message93534/ http://forum.esetnod32.ru/messages/forum35/topic13496/message93534/ Fri, 17 Jun 2016 13:27:09 +0300 Шифровальщики файлов и подбор дешифраторов