Перейти к содержимому


Фотография
- - - - -

Шифровальщик с расширением LOCK

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 5

#1 OFF   trasko_dmitry

trasko_dmitry

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 31 Май 2019 - 14:15

Добрый день!

На сервере lotus notes  поймали шифровальщика, зашифровались файлы Лотуса, почтовые базы пользователей с расширением nsf и частично некоторые документы, просьба помочь, архив с лог файлами согласно инструкции прикрепил.

 

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 671

Отправлено 31 Май 2019 - 15:04

Здравствуйте!

Текстовый файл с требованием выкупа вместе с парой небольших зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

"Пофиксите" в HijackThis:
O4 - Startup other users: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt
O4 - Startup other users: C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt
O4 - User Startup: C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#3 OFF   trasko_dmitry

trasko_dmitry

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 31 Май 2019 - 15:56

Спасибо за ответ, приложил нужные файлы

Прикрепленные файлы

  • Прикрепленный файл  files.7z   63,55К   скачиваний 4
  • Прикрепленный файл  FRST.7z   12,25К   скачиваний 1

  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 671

Отправлено 01 Июнь 2019 - 16:07

Файлы

C:\windows\system32\llll.exe
C:\windows\system32\lll.exe
C:\windows\system32\zzz.exe

аккуратно упакуйте с паролем virus и пришлите мне в ЛС.

Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    2019-05-31 00:34 - 2019-05-31 00:34 - 000000932 _____ C:\Program Files\HOW_TO_DECRYPT.txt
    2019-05-31 00:34 - 2019-05-31 00:34 - 000000932 _____ C:\Program Files\Common Files\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Рабочий стол\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Мои документы\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Главное меню\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Local Settings\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\NetworkService\Local Settings\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\NetworkService\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\LocalService\Local Settings\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\LocalService\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Рабочий стол\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Мои документы\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Главное меню\Программы\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Главное меню\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Local Settings\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Рабочий стол\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Главное меню\Программы\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Главное меню\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\HOW_TO_DECRYPT.txt
    2019-05-31 00:27 - 2019-05-31 00:27 - 000018432 _____ C:\windows\system32\llll.exe
    2019-05-31 00:03 - 2019-05-31 00:03 - 000018432 _____ C:\windows\system32\lll.exe
    2019-05-30 23:23 - 2019-05-30 23:23 - 000009216 _____ C:\windows\system32\zzz.exe
    Zip: c:\FRST\Quarantine\
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • 0
Изображение

#5 OFF   trasko_dmitry

trasko_dmitry

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 03 Июнь 2019 - 14:26

Добрый день!

Отправлено в личку и на почту.

Файл приложил

 

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   6,43К   скачиваний 1

  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 671

Отправлено 04 Июнь 2019 - 11:52

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
Папку C:\FRST пока не удаляйте.
Смените пароль на RDP.
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных