Перейти к содержанию
trasko_dmitry

Шифровальщик с расширением LOCK

Рекомендуемые сообщения

Добрый день!

На сервере lotus notes  поймали шифровальщика, зашифровались файлы Лотуса, почтовые базы пользователей с расширением nsf и частично некоторые документы, просьба помочь, архив с лог файлами согласно инструкции прикрепил.

 

CollectionLog-2019.05.31-12.56.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Текстовый файл с требованием выкупа вместе с парой небольших зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

"Пофиксите" в HijackThis:

O4 - Startup other users: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt
O4 - Startup other users: C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt
O4 - User Startup: C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt
Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Файлы

C:\windows\system32\llll.exe

C:\windows\system32\lll.exe

C:\windows\system32\zzz.exe

аккуратно упакуйте с паролем virus и пришлите мне в ЛС.

 

Затем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    2019-05-31 00:34 - 2019-05-31 00:34 - 000000932 _____ C:\Program Files\HOW_TO_DECRYPT.txt
    2019-05-31 00:34 - 2019-05-31 00:34 - 000000932 _____ C:\Program Files\Common Files\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Рабочий стол\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Мои документы\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Главное меню\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Local Settings\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\NetworkService\Local Settings\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\NetworkService\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\LocalService\Local Settings\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\LocalService\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Рабочий стол\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Мои документы\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Главное меню\Программы\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Главное меню\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Local Settings\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Рабочий стол\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Главное меню\Программы\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Главное меню\HOW_TO_DECRYPT.txt
    2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\HOW_TO_DECRYPT.txt
    2019-05-31 00:27 - 2019-05-31 00:27 - 000018432 _____ C:\windows\system32\llll.exe
    2019-05-31 00:03 - 2019-05-31 00:03 - 000018432 _____ C:\windows\system32\lll.exe
    2019-05-30 23:23 - 2019-05-30 23:23 - 000009216 _____ C:\windows\system32\zzz.exe
    Zip: c:\FRST\Quarantine\
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Папку C:\FRST пока не удаляйте.

Смените пароль на RDP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.