loki locker Учреждение пострадало от атаки [onion749@onionmail.org][d4ad51c2]id4678f1.jpg

[Автошкола 0]

19.12.2022 в 09-30 по Москве началось шифрование на одном из компьютеров сети, состоящей мз 10 машин. Далее началось шифрование файлов на общем диске (присоединен к машине и всем пользователям). Обнаружено через два часа. Компьютер выключен. Не трогался. Пострадали данные учета учащихся, бух. учет.

Помогите как действовать?

Спасибо.

[Sandor 1104]

Здравствуйте!

 

17 минут назад, Автошкола сказал:

Компьютер выключен. Не трогался

Отключите его от локальной сети и выполните Порядок оформления запроса о помощи

[Автошкола 0]

Спасибо за ответ. Сегодня сделаем.

Я его с перепугу разобрал, вынул диск, планировал сделать образ. Опасался,что вирус самоуничтожиться и не будет возможности восстановить данные. Нет такой опасности?

[Sandor 1104]

Само тело вымогателя очень редко помогает в расшифровке. И скорее всего он уже удалён.

Прикрепите пока хотя бы образцы зашифрованных документов и записку с требованием выкупа.

[Автошкола 0]

Это запросто.

Restore-My-Files.rar

[Sandor 1104]

Увы, это Loki Locker. Расшифровки нет.

[Автошкола 0]

Вариантов нет от слова совсем?

[Sandor 1104]

Именно так, к сожалению.

 

Приватный ключ находится у злоумышленников. Либо они сами его сольют, либо их поймают и изымут сервера.

И то и другое случается, но крайне редко.

[Автошкола 0]

Спасибо за информацию. Я в общем-то сразу смирился с потерей.

[Автошкола 0]

Проконсультируйте пожалуйста вот по какому вопросу:

На меня вышел с предложениями помощи некто: Сергей Поркар <serg.porkar@rambler.ru>

После изучения моих зашифрованных файлов, предложил скачать и запустить сканер, скаченный по ссылке [удалено]

я его не скачивал.

потом еще один [удалено]

я решил попробовать на чистом компе.

скачивая касперский на него ругнулся

Обнаружено: 24.12.2022 18:53:10

Веб-адрес: https://eu6.easyupload.io/download/txkktz/t6uw69x2u4dqypzo2lvk9n1ebab8sl0i

Причина: объект заражен HEUR:Trojan.Win32.Generic

 

Сергей утверждал что все ок

убрал касперского

скачал на чистый комп, запустил, и получил сообщение от локера

Что называется, что и требовалось доказать.

Предполагаю, что этот  Сергей Поркар <serg.porkar@rambler.ru> злоумышленник.

 

Что нибудь Вам известно о данном деятеле?

 

У меня на зараженном компе вирусом  Loki Locker. стоял касперский. Правда уже с месяц как закончилась лицензия.

Но касперский вроде должен был остановить вирус.

Или без лицензии касперский уже не работает совсем?

 

 

К слову, вот последнее сообщение от Сергей Поркар <serg.porkar@rambler.ru>

 

сканер в системе находит файлы шифровальщика, в файл записывает дамп ключа, с помощью него уже сможем расшифровать данные 

файл A.txt 

 

Такое возможно?

Изменено 29 декабря, 2022 пользователем Sandor
Убрал вредоносные ссылки

[Sandor 1104]

Подобных мошенников много, почитайте.

 

26.12.2022 в 09:31, Автошкола сказал:

Или без лицензии касперский уже не работает совсем?

Работает, только не обновляются базы. Антивирус мог быть отключен злоумышленником после получения пароля администратора и проникновения в систему.