Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)
Идём на летний корпоратив «Лаборатории Касперского»! Кто с нами? :)

Шифровальщик с расширением LOCK

trasko_dmitry
 Поделиться

Рекомендуемые сообщения

trasko_dmitry

trasko_dmitry

Опубликовано
Опубликовано

Добрый день!

На сервере lotus notes  поймали шифровальщика, зашифровались файлы Лотуса, почтовые базы пользователей с расширением nsf и частично некоторые документы, просьба помочь, архив с лог файлами согласно инструкции прикрепил.

 

CollectionLog-2019.05.31-12.56.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Текстовый файл с требованием выкупа вместе с парой небольших зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

"Пофиксите" в HijackThis:

O4 - Startup other users: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt
O4 - Startup other users: C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt
O4 - User Startup: C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt
Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Файлы

C:\windows\system32\llll.exe

C:\windows\system32\lll.exe

C:\windows\system32\zzz.exe

аккуратно упакуйте с паролем virus и пришлите мне в ЛС.

 

Затем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
2019-05-31 00:34 - 2019-05-31 00:34 - 000000932 _____ C:\Program Files\HOW_TO_DECRYPT.txt
2019-05-31 00:34 - 2019-05-31 00:34 - 000000932 _____ C:\Program Files\Common Files\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Рабочий стол\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Мои документы\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Главное меню\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Local Settings\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\NetworkService\Local Settings\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\NetworkService\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\LocalService\Local Settings\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\LocalService\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Рабочий стол\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Мои документы\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Главное меню\Программы\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Главное меню\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Local Settings\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Рабочий стол\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Главное меню\Программы\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Главное меню\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\HOW_TO_DECRYPT.txt
2019-05-31 00:27 - 2019-05-31 00:27 - 000018432 _____ C:\windows\system32\llll.exe
2019-05-31 00:03 - 2019-05-31 00:03 - 000018432 _____ C:\windows\system32\lll.exe
2019-05-30 23:23 - 2019-05-30 23:23 - 000009216 _____ C:\windows\system32\zzz.exe
Zip: c:\FRST\Quarantine\
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

trasko_dmitry

trasko_dmitry

Опубликовано
  • Автор
Опубликовано

Добрый день!

Отправлено в личку и на почту.

Файл приложил

 

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Папку C:\FRST пока не удаляйте.

Смените пароль на RDP.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Анжелика Марчук
      Зашифровало файлы MS-DOS расширение
      Автор Анжелика Марчук
      Здравствуйте,такая проблема качал архив и после его открытия вирус заразил ноутбук,понял это не сразу через пару дней.
      Вирус зашифровал все личные файлы в расширение MS-DOS .com.
      Вот могу дополнить почту,мжет это поможет решить проблему decryptallfiles3@india.com, Все кто что то знает или слышал про этот вирус отзовитесь пожалуйста,может кому то удалось решить проблему,за ранее буду благодарен.
      0yhWP6pqJIhli7tyyvf3.decryptallfiles3@india.rar
    • Егор45
      Шифровальщик RROD
      Автор Егор45
      Здравствуйте. Сегодня ночью подломили сервак, Windows server 2003 R2 x64. Стоял Kaspesky Small Office 3, утром когда зашёл на сервер Каспер был убит напрочь, хотя был под паролем и писал бэкапы на соседний винт (понимаю не комильфо, но другого варианта нет). Всё файлы типа: *.mxl.RROD, *.docx.RROD. В текстовике следующее сообщение:
       
                             Место для Вашей рекламы --------------------------------------------------------------------------------     Вся Ваша информация (документы, базы данных, бэкапы)     на этом компьютере была зашифрована.     Для расшифровки обратитесь по нижеуказанным контактам.     Ни в коем случае не изменяйте файлы!     И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда.     Каждый дешифратор - уникален, чужой - просто испортит Ваши файлы.     Благодоря нам - вы можете усилить свою безопасность     и предотвратить подобные ситуации! -------------------------------------------------------------------------------- e-mail: rr0d@riseup.net ----------------------------------- Ваш код для разблокировки: 7566513  --------------------------------------------------------------- Внимание! В первом письме не прикрепляйте файлы для дешифровки. Все инструкции вы получите в ответном письме. ---------------------------------------------------------------    В предыдущей теме читал (https://forum.kasperskyclub.ru/index.php?showtopic=51068), что скинули дешифратор, можно ли попросить у вас его, вдруг мой???
    • iWILLiWILL
      Шифровальщик CryptoLocker
      Автор iWILLiWILL
      Скорее всего это ссылка.
       
      может быть это.
       
      Не уверен, тк вирус запустился только после следующего включения.
       
      jpg файлы не прикрепились, "пожалуйста сообщите об этом администрации форума"
      KL_syscure.zip
      Учитель-веры-Урок-2-ред.docx
    • rsamig
      Вирус зашифровал все документы .acrypt
      Автор rsamig
      KVRT и cureIt ничего не обнаружили. 
      CollectionLog-2016.12.12-10.32.zip
    • krivanov
      Шифратор vnature@india.com
      Автор krivanov
      Доброго времени суток.
      Споймали вот такой шифровщик.
       
       
      Во вложении пример, логи, и зашифрованый файл (1 из пары.) второй добавлю в след. посте, превышен размер в 5 мб. 
       
       
      http://dropmefiles.com/1sU8y (залил второй файл из пары сюда)
      CollectionLog-2016.12.08-13.45.zip
      example.rar
      s08oZQhxJjGWKDUHJNn3TaXG.vnature@india.rar
×
×
  • Создать...