Перейти к содержанию

Шифровальщик с расширением LOCK

trasko_dmitry
 Поделиться

Рекомендуемые сообщения

trasko_dmitry

trasko_dmitry

Опубликовано
Опубликовано

Добрый день!

На сервере lotus notes  поймали шифровальщика, зашифровались файлы Лотуса, почтовые базы пользователей с расширением nsf и частично некоторые документы, просьба помочь, архив с лог файлами согласно инструкции прикрепил.

 

CollectionLog-2019.05.31-12.56.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Текстовый файл с требованием выкупа вместе с парой небольших зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

"Пофиксите" в HijackThis:

O4 - Startup other users: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt
O4 - Startup other users: C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt
O4 - User Startup: C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt
Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Файлы

C:\windows\system32\llll.exe

C:\windows\system32\lll.exe

C:\windows\system32\zzz.exe

аккуратно упакуйте с паролем virus и пришлите мне в ЛС.

 

Затем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
2019-05-31 00:34 - 2019-05-31 00:34 - 000000932 _____ C:\Program Files\HOW_TO_DECRYPT.txt
2019-05-31 00:34 - 2019-05-31 00:34 - 000000932 _____ C:\Program Files\Common Files\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Рабочий стол\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Мои документы\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Главное меню\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Local Settings\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\NetworkService\Local Settings\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\NetworkService\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\LocalService\Local Settings\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\LocalService\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Рабочий стол\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Мои документы\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Главное меню\Программы\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Главное меню\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Local Settings\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Рабочий стол\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Главное меню\Программы\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Главное меню\HOW_TO_DECRYPT.txt
2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\HOW_TO_DECRYPT.txt
2019-05-31 00:27 - 2019-05-31 00:27 - 000018432 _____ C:\windows\system32\llll.exe
2019-05-31 00:03 - 2019-05-31 00:03 - 000018432 _____ C:\windows\system32\lll.exe
2019-05-30 23:23 - 2019-05-30 23:23 - 000009216 _____ C:\windows\system32\zzz.exe
Zip: c:\FRST\Quarantine\
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

trasko_dmitry

trasko_dmitry

Опубликовано
  • Автор
Опубликовано

Добрый день!

Отправлено в личку и на почту.

Файл приложил

 

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Папку C:\FRST пока не удаляйте.

Смените пароль на RDP.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sabo
      Шифровальщик с расширением
      Автор sabo
      Добрый день поймал шифровальщика на ПК, скорее всего взлом по РДП
      1.rar
    • Юрикс
      Шифровальщик, расширение .A7V3ac
      Автор Юрикс
      Приветствую всех. Уже прилично как зашифровало файлы. Почтой отправлял данные (сам вирус и шифрованные файлы) в Касперский, но что-то тишина.
      Шифрование похоже на .7Kf9uY и .rOSb1V. Только в сообщении у меня другая ссылка на сайт. А так, вроде и сайт с тем самим видом.
      Внимание! Все Ваши файлы зашифрованы!Чтобы восстановить свои файлы посетите сайт http://plc.2fh.co Если сайт недоступен пишите на plc12@inbox.com Ваш id d9115873 У вас есть 6 попыток ввода кода. При превышении этого  лимита все данные необратимо испортятся. Надеюсь и мне повезёт с расшифровкой.
      Прикладываю шифрованный файл.
      OemInfo.zip.zip
    • badabucha
      Шифровальщик с расширением .frank
      Автор badabucha
      Все файлы на сервере зашифрованы расширением .frank
      FRST.txt Frank_Help.txt файлы.rar Addition.txt
    • Bruce007
      Шифровальщик с расширением fear.pw
      Автор Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
    • tom1
      Шифровальщик с расширением .wtch
      Автор tom1
      Здравствуйте.
      Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.
      Файл самого шифровальщика обнаружен, готов предоставить.
      Addition.txt FRST.txt файлы.zip
×
×
  • Создать...