Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

И снова *.LOCKED

ssti
 Поделиться

Рекомендуемые сообщения

ssti

ssti

Опубликовано
Опубликовано

Здравствуйте!

 

    Приходящий экономист получил и открыл!!! письмо с архивом (запароленым) с письмом "Счета на оплату - согласовано главным бухгалтером и директором и отправлено контрагенту для оплаты_cuztg.doc.js" - документы (doc, xls, pdf) и сканы (jpg) получили второе расширение - *.doc.locked. 

 

Служба VSS (теневые копии) не работает (ее даже в службах нет!), теневых копий нет, архивных копий нет.

На другом компьютере это письмо тоже открывали, но там хоть VSS была, - документы восстановить получилось, а на этом никак.

 

P.S. KAF поставил им сразу же, до этого был eset кажется.CollectionLog-2016.08.21-15.19.ziprestoVV.rar

 

Помогите, пожалуйста!

mike 1

mike 1

Опубликовано
Опубликовано
Ну вот, в общем-то, и все. Настало время думать о бэкапах для ваших новых файлов.

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
ssti

ssti

Опубликовано
  • Автор
Опубликовано

 

Ну вот, в общем-то, и все. Настало время думать о бэкапах для ваших новых файлов.
 
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png

 

 

 

Вот логи FRSTFrst.rar

restoVV.rar - 111 - это что осталось от вируса и файлик из залоченных.

mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

HKU\S-1-5-21-3728893517-3177592466-1020449704-1000\...\Run: [] => C:\Users\KALIMB~1\AppData\Local\Temp\Rar$DIb0.067\Счета на оплату - согласовано главным бухгалтером и директором и отправлено контрагенту для оплаты_cuztg.doc.js argument <===== ATTENTION

CHR Extension: (Chrome Media Router) - C:\Users\KalimbetES\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-08-19]



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

ssti

ssti

Опубликовано
  • Автор
Опубликовано

upload.zip не создался. FRST запускал из папки downloads пользователя, обновилась сама программа, на c:\frst добавился подкаталог c:\FRST\Quarantine - 2963050 байт размером, а лог c:\Users\KalimbetES\Downloads\Fixlog.txt прикладываю сам вирус (файл "Счета на оплату - согласовано главным бухгалтером и директором и отправлено контрагенту для оплаты_cuztg.doc.js") есть в отдельном архиве, он нужен?Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано

Думаю нет. Платные версии Антивируса Касперского такое по поведению ловят. 

 

 

 

Служба VSS (теневые копии) не работает (ее даже в службах нет!), теневых копий нет, архивных копий нет.

А шифровальщик их вам удалил вместе со службой. 

 

Пароли меняйте. С расшифровкой не поможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Interessanten
      Расшифровка файла
      Автор Interessanten
      Доброго всем времени суток!
       
      Бухгалтерша открыла письмо от "Налоговой" и после этого зашифровались все файлы. Вот здесь самый нужный файл. Тот ноутбук забрали на чистку "местные" мастера, надеюсь у вас получится мне помочь. 
       
      Заранее благодарю!

       RannohDecryptor,  XoristDecryptor и RectorDecryptor не помогли (
      SATIS RAPORU GENEL 2016.xlsx.zip
    • Yulia_T
      Вирус RAA
      Автор Yulia_T
      Как оказалось не новая история На эл. почту пришло письмо с требованием оплатить просроченный счет, при открытии понеслось - все файлы поменяли расширение на locked. На форуме нашлась похожая тема - делали все по инструкции.
      CollectionLog-2016.08.25-10.29.zip
    • GMK
      Помогите с зашифрованными файлами.locked
      Автор GMK
      Наша организация постоянный ваш клиент, покупаем и обновляем ваше ПО. Но после лечения одного из компьютеров, на файловом сервере переименовались файлы офиса и  JPG на расширение .Locked   Помогите расшифровать или порядок действий. Файл во вложении
      бланк.doc.rar
    • Shodek
      Вирус шифровчик
      Автор Shodek
      Здравствуйте. Поймал вирус, который зашифровал все документы, архивы, фотки. Название файла стало следующего вида <имя файла>.doc.locked. Пробовал утилиту rakhnidecryptor. Результат отрицательный. Появились два файла, это ридми и еще какой-то, которые необходимо отправить злоумышленникам для дешифратора. Можно ли расшифровать данные? Пароль на архив 123
       
      !!!README!!!zExy5.rtf
      KEY-242BD198-6398-4A1C-B95C-5E02CB97F4AF.rar
    • ekalmykov
      Запустили вирус из почты, все файлы получили расширение .locked
      Автор ekalmykov
      Добрый день.
      Юзер получил вредоносное письмо  и не предупредив открыл вложение.
      Вложение было в виде скрипта .js после чего многие файлы получили расширение .locked.
      Нашли компьютер, с которого было произведен запуск и заражение.
      (во вложении virus.zip (пароль - virus) архив с исходным письмом + пару зараженных файлов для примера)
      Также во вложении лог сканирования от AdwCleaner.
      Самое грустное, что в сети есть "Общая папка", куда все пользователи скидывали свои документы (word, excel, pdf), и куда был доступ на запись, соответственно все файлы в общей папке тоже залочены. Юзерам пока дана команда ничего там не трогать и не пытаться запускать\скопировать к себе. Можно ли как-то восстановить эти данные? Другие компьютеры пока не пострадали.
       

      Строгое предупреждение от модератора Mark D. Pearlstone Не прикрепляйте вредоносные файлы на форум. AdwCleanerS0.txt
×
×
  • Создать...