Help - Search - Members
Full Version: зашифрованы файлы *.LOCKDIR
Kaspersky Lab Forum > Для русскоязычных пользователей > Борьба с SMS вымогателями-блокерами
Pages: 1, 2
slavawashere
Здравствуйте!

Часть файлов оказалась зашифрована - и переименована с расширением .LOCKDIR
Самой программы для расшифровки не осталось

в каждом каталоге с зашифрованым файлом был текстовый файл о том что расшифровать можно обратившись на unlockmen@excite.com

- написал для прикола - ответ был такой: "Здравствуйте! Для разблокировки и получения пароля Вам необходимо оплатить 3500 рублей при помощи одной из платежных систем: Яндекс деньги ,Деньги@mail.ru .
Сообщите нам какой метод оплаты вам приемлем."

пример зашифрованного файла прилагаю( запакован zip), может кто-то сможет помочь.
Заранее спасибо :-)
Maximus_Decimus
У меня тоже самое причем распространилось по сетевым дискам, зашифрованными оказались почти все doc и els

Помогите как расшифровать файлы, информация очень важная
Yury Parshin
Еще не лечились чем-либо?
Воспользуйтесь данной утилитой - http://support.kaspersky.ru/faq/?qid=208637174
slavawashere
QUOTE(Yury.Parshin @ 2.03.2012 15:21) *
Воспользуйтесь данной утилитой - http://support.kaspersky.ru/faq/?qid=208637174

Эта утилита просит указать зашифрованый файл - сканирует весь диск, но ничего не делает - пишет расшифровано 0 файлов
Yury Parshin
QUOTE(slavawashere @ 2.03.2012 16:11) *
Эта утилита просит указать зашифрованый файл - сканирует весь диск, но ничего не делает - пишет расшифровано 0 файлов

Значит файл с вредоносной программой был уже удален. Можете восстановить его? (из карантина антивируса, если лечились им, либо вспомнить, откуда что качали / запускали).
slavawashere
QUOTE(Yury.Parshin @ 2.03.2012 16:38) *
Значит файл с вредоносной программой был уже удален. Можете восстановить его? (из карантина антивируса, если лечились им, либо вспомнить, откуда что качали / запускали).


что качали никто не помнит, и антивирус ничего не нашел в тот день, в карантине тоже ничего нет ... видимо самоудалился?
Yury Parshin
QUOTE(slavawashere @ 2.03.2012 17:27) *
что качали никто не помнит, и антивирус ничего не нашел в тот день, в карантине тоже ничего нет ... видимо самоудалился?

Возможно, попробуйте восстановить удаленные файлы.
slavawashere
QUOTE(Yury.Parshin @ 2.03.2012 18:20) *
Возможно, попробуйте восстановить удаленные файлы.

Восстановить ничего не получилось - предприятие простаивает - пришлось заплатить вымогателям деньги, в ответ прислали программу и пароль для расшифровки
Все разблокировалось и работает

Куда отослать вирус с кодом и примерами зашифрованных/расшифрованных файлов?
thyrex
Если Вы имели в виду программу, которую Вам прислали вместе с кодом, тогда выложите на обменник в архиве с паролем virus всю необходимую информацию (включая примеры зашифрованных файлов) и пришлите ссылку мне в личные сообщения
super_oleg
та же самая проблема один-в-один как у автора... платить не хочется... как восстановить?

помогите пожалуйста
wildart
Похожая ситуация на ПК друга, решение не нашел. Помогите пожалуйста!
gogolem
Тоже самое 6.03.12 пришло письмо От кого: BARRISTER EGO GERTRAUD DALL <gertrauddall@list.ru>
Кому: gertrauddall@list.ru

вложен был текстовый документ после открытия все файлы ворда и экселя были зашифрованы .lockdir но самое страшное все файлы dbf в 1с 7.7 были тоже зашифрованы утилита не помогает, что делать? Тут паника у бухгалтеров ибо поймали вирус на сервере где баз 1с "мамай нарожал" и все архивные копии баз тоже зашифрованы. ЧТО ДЕЛАТЬ???
вот текст что прилагался к каждой изгаженной папки с файлами - "Внимание! На вашем компьютере,обнаружено не лицензионное
программное обеспечение.Доступ к вашим файлам запрещен !
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нашим отделом безопасности UNLOCKMEN@EXCITE.COM
Идентификатор 86548764 (41)
Ваш компьютер поставлен на таймер самоуничтожения 24 часа , по истечении этого времени вся информация будет безвозвратно стёрта. У вас есть 5 попыток ввода кода. При превышении этого количества, все данные необратимо удаляться. Будьте
внимательны при вводе кода !
Заранее благодарим за оплату ! Мы ценим ваш вклад в развитие инновационно-технического прогресса. "

самое интересное я даже не могу представить куда код разблокировки вводить, самого вируса на компе нету только текстовые послания остались.
super_oleg
ну файлы он не удаляет... а вот разблокировать пока никто не может как я понимаю
gogolem
Админы проинформируйте ваще как то решается проблема с этим видом вируса, или праздники и все спят.
slavawashere
в моем случае пароль был такой: fp0HkYw4UDM9u5RgVIoo2oWt
попробуйте - может поможет?

как я понял, если вирусу не хватает админских прав, чтобы положить себя в системную директорию и ассоциировать себя для запуска зашифрованных файлов .LOCKDIR, то на компе ничего кроме зашифрованных файлов не остается, но не беда - мне прислали вирус снова - я его запустил - он запросил код - я ввел и меньше чем через минуту все расшифровалось.

Судя по скорости , с которой он расшифровал огромное количесво файлов - это не настоящее шифрование, а что-то вроде XOR, но утилита xoristdecryptor от касперского не может его расшифровать.

Yury Parshin
QUOTE(slavawashere @ 10.03.2012 16:57) *
в моем случае пароль был такой: fp0HkYw4UDM9u5RgVIoo2oWt
попробуйте - может поможет?

как я понял, если вирусу не хватает админских прав, чтобы положить себя в системную директорию и ассоциировать себя для запуска зашифрованных файлов .LOCKDIR, то на компе ничего кроме зашифрованных файлов не остается, но не беда - мне прислали вирус снова - я его запустил - он запросил код - я ввел и меньше чем через минуту все расшифровалось.

Судя по скорости , с которой он расшифровал огромное количесво файлов - это не настоящее шифрование, а что-то вроде XOR, но утилита xoristdecryptor от касперского не может его расшифровать.

Код для Вашей модификации был добавлен в утилиту еще 6 марта. Шифрование AES-256.
Yury Parshin
QUOTE(gogolem @ 10.03.2012 14:25) *
Админы проинформируйте ваще как то решается проблема с этим видом вируса, или праздники и все спят.

Если проблема еще не решена в обновленной утилите XoristDecryptor, то Вам остается только ждать, когда кто нибудь пришлет нам тело зловреда.
StProwler
Отписывался на newvirus@kaspersky.com 7го, пришло уведомление робота и тишина. Очень актуальная проблема.
Идентификатор 86548764 (43)
XoristDecryptor не расшифровывает. Если нужно тело вируса, то как он хоть может называться? Ибо каспер отработал, что то нашел... но знать бы как звать зверя такого нехорошего.
Yury Parshin
QUOTE(StProwler @ 11.03.2012 11:30) *
Отписывался на newvirus@kaspersky.com 7го, пришло уведомление робота и тишина. Очень актуальная проблема.
Идентификатор 86548764 (43)
XoristDecryptor не расшифровывает. Если нужно тело вируса, то как он хоть может называться? Ибо каспер отработал, что то нашел... но знать бы как звать зверя такого нехорошего.

Trojan-Ransom.Win32.Xorist - попробуйте восстановить его из карантина.
StProwler

вот все что можно увидеть у касера.
В карантине пусто


пробежался по отчету каспера с целью найти упоминания о "Trojan-Ransom.Win32.Xorist", да и просто "Xorist" на всякий случай, начало записей в отчете еще с прошлого года - ничего не найдено. Может это другой зверь?
Joker777
У меня тоже самое! Помогите!!! Во всех файлах теперь лежит текстовый документ "Деблокировка файлов". Почти все файлы на компьютере зашифровало ...


Всё началось с того, что на почту пришло письмо якобы от Сбербанка c мыла: sber-bank@kbs.ru. В нём прикреплённый архив...после открытия через минут 10 началась вся эта фигня. С каждой минутой всё больше испорченных файлов!
http://s017.radikal.ru/i403/1203/14/a9a234bb68e7.jpg
Joker777
У меня тоже самое! Помогите!!! Во всех файлах теперь лежит текстовый документ "Деблокировка файлов". Почти все файлы на компьютере зашифровало ...


Всё началось с того, что на почту пришло письмо якобы от Сбербанка c мыла: sber-bank@kbs.ru. В нём прикреплённый архив...после открытия через минут 10 началась вся эта фигня. С каждой минутой всё больше испорченных файлов!



Вот тот самый файл после открытия которого начались проблемы: http://www.getzilla.net/files/3072487/7z.html
ВНИМАНИЕ! ФАЙЛ ВЫКЛАДЫВАЮ ДЛЯ ТЕХ КТО МОЖЕТ РЕШИТЬ ПРОБЛЕМУ! ПРИ ЗАПУСКЕ ВИРУС ПОПАДЁТ В КОМПЬЮТЕР, ТАК ЧТО НЕ ДЕЛАЙТЕ ЭТОГО!
Joker777
Эти мудаки требуют за разблокировку 3500 рублей! Помогите кто нибудь пожалуйста...
Yury Parshin
QUOTE(StProwler @ 11.03.2012 12:03) *

вот все что можно увидеть у касера.
В карантине пусто


пробежался по отчету каспера с целью найти упоминания о "Trojan-Ransom.Win32.Xorist", да и просто "Xorist" на всякий случай, начало записей в отчете еще с прошлого года - ничего не найдено. Может это другой зверь?

Покажите полные пути к файлам (разверните окно отчета).
Yury Parshin
QUOTE(Joker777 @ 11.03.2012 18:16) *
Эти мудаки требуют за разблокировку 3500 рублей! Помогите кто нибудь пожалуйста...

Пока не лечитесь - запускайте утилиту XoristDecryptor - http://support.kaspersky.ru/faq/?qid=208637174
gogolem
QUOTE(Yury.Parshin @ 11.03.2012 17:44) *
Пока не лечитесь - запускайте утилиту XoristDecryptor - http://support.kaspersky.ru/faq/?qid=208637174

И что утилита щяс помогает? Нужно точный ответ, да или нет.
А то эти умные уроды просят 5000р мои клиенты уже и на это согласны)
Yury Parshin
QUOTE(gogolem @ 11.03.2012 19:38) *
И что утилита щяс помогает? Нужно точный ответ, да или нет.

Качайте и пробуйте - утилита постоянно обновляется.
Joker777
Не помогла утилита.
dalex69
Тоже самое 86548764 (38), но письмо:
От кого: Коллекторское агентство <rusbisinessactiv@30.ru>
Кому: @mail.ru
Дата: 05 марта 2012, 14:04
Тема: Ваша долговая расписка

Здравствуйте ! Имеется нотариально заверенная расписка на 60 000 рублей, в расписке указано, что вы обязаны вернуть деньги по первому требованию. В ввиду того ,что у держателя расписки нет времени заниматься судебными разбирательствами, зная, как работает система судебных приставов, нам была продана искомая расписка . Если готовы обсуждать условия - звоните по телефону, или пишите на электронную почту.Скан расписки находиться ЗДЕСЬ (http://dolg.pochtamt.ru//dolg.rar)

Есть только закодированные и исходные файлы, приложил в архиве.

Скачал последний XoristDecryptor, не помогло :-(
StProwler
QUOTE(Yury.Parshin @ 11.03.2012 17:41) *
Покажите полные пути к файлам (разверните окно отчета).




пожалуйста
gogolem
Ньдя Проблеме уже пол месяца а не кто из представителей антивирусных продуктов её решить не может(дрвеб ваще в неадеквате если чесно), вот и встаёт вопрос зачем покупать антиврус если в такой вот ситуации толку 0
Joker777
QUOTE(gogolem @ 13.03.2012 16:43) *
Ньдя Проблеме уже пол месяца а не кто из представителей антивирусных продуктов её решить не может(дрвеб ваще в неадеквате если чесно), вот и встаёт вопрос зачем покупать антиврус если в такой вот ситуации толку 0

Мне Доктор-вебовец пытался помочь. Сегодня пол дня возился... В результате сказал, что сам вирус не найден...самоудалился. Так что теперь даже не знаю...
А на счёт антивирусов. И правда платишь деньги за защиту, а в итоге компьютер всё равно заражён. Самое смешное, что я прогонял тот архив с вирусом через один сайт, на котором идёт проверка по базам 43 антивирусов. Итог: единственный антивирусник, который обнаружил троян это "VBA32" Белорпусских производителей практически не известный.
Yury Parshin
QUOTE(gogolem @ 13.03.2012 16:43) *
Ньдя Проблеме уже пол месяца а не кто из представителей антивирусных продуктов её решить не может(дрвеб ваще в неадеквате если чесно), вот и встаёт вопрос зачем покупать антиврус если в такой вот ситуации толку 0

Проблема с расшифровкой решается по мере поступления семплов. Пользователи наших актуальных продуктов (с компонентом System Watcher) не подвержены этой проблеме, даже если отсутствует детект базами.
gogolem
Пока что приятно удивила утилита XoristDecryptor ещё 06.03.2012 она даже не пыталась что то увидить, то щяс смело показывает что дешефрует файла, пока что не 1н расшифрованый файл не открылся как надо но спешу это на то что утилита ещё работает, так что не спешим ей пользоваться.
gogolem
Ага ясно в общем утили деблокирует тока те файлы на которые знает коды разблокировки типо если
Идентификатор 86548764 (48)
То их утила разблокирует коректно ибо известен Код разблокировки bD7903305jmI7Nk4wJcXu77N
А вот что делать тем у кого скажем Идентификатор 86548764 (41)
Joker777
QUOTE(gogolem @ 15.03.2012 11:51) *
Пока что приятно удивила утилита XoristDecryptor ещё 06.03.2012 она даже не пыталась что то увидить, то щяс смело показывает что дешефрует файла, пока что не 1н расшифрованый файл не открылся как надо но спешу это на то что утилита ещё работает, так что не спешим ей пользоваться.

И у меня тоже вдруг увидела зашифрованные файлы и пишет, что расшифровывает! Пока жду результата...прогресс уже есть.
Joker777
Всё отлично!!! Мои файлы спасены с помощью утилиты! Огромное спасибо лаборатории Касперского! Не зря я только вашими продуктами пользовался и всегда хвалил. Другие справиться не смогли.
Joker777
QUOTE(gogolem @ 15.03.2012 12:34) *
Ага ясно в общем утили деблокирует тока те файлы на которые знает коды разблокировки типо если
Идентификатор 86548764 (48)
То их утила разблокирует коректно ибо известен Код разблокировки bD7903305jmI7Nk4wJcXu77N
А вот что делать тем у кого скажем Идентификатор 86548764 (41)

Не совсем так. Я умудрился сразу 2 вируса словить. Один со 110 идентификатором, второй с 48. Утилита справилась...
gogolem
QUOTE(Joker777 @ 15.03.2012 12:13) *
Не совсем так. Я умудрился сразу 2 вируса словить. Один со 110 идентификатором, второй с 48. Утилита справилась...

Ну тем не мене с 41м не справился, файлы типо расшифровал а на самом деле они не открываются((
Joker777
QUOTE(gogolem @ 15.03.2012 13:15) *
Ну тем не мене с 41м не справился, файлы типо расшифровал а на самом деле они не открываются((

Ну я думаю скоро и с 41 справятся! У меня кстати зашифрованные файлы тоже остались, но рядом с ними появились расшифрованные...
Yury Parshin
QUOTE(Joker777 @ 15.03.2012 15:51) *
Ну я думаю скоро и с 41 справятся! У меня кстати зашифрованные файлы тоже остались, но рядом с ними появились расшифрованные...

Чтобы такого не было, надо в настройках включить опцию "удалять зашифрованные файлы после расшифровки". Но только в том случае, если Вы убедились, что все файлы корректно расшифрованы.
Yury Parshin
QUOTE(gogolem @ 15.03.2012 13:15) *
Ну тем не мене с 41м не справился, файлы типо расшифровал а на самом деле они не открываются((

Есть зашифрованные файлы .docx / .zip? Выложите их, пожалуйста.
dalex69
QUOTE(Yury.Parshin @ 16.03.2012 07:21) *
Есть зашифрованные файлы .docx / .zip? Выложите их, пожалуйста.


А (38) 86548764 можете глянуть, в архиве зашифрованные и исходные файлы, по ним можно определить код?

Yury Parshin
QUOTE(dalex69 @ 16.03.2012 09:21) *
А (38) 86548764 можете глянуть, в архиве зашифрованные и исходные файлы, по ним можно определить код?

Пока семпл для данной модификации не приходил.
gogolem
Так люди добрые, пришлось оплатить вымогателям(весьма адекватные люди) 5000р, в ответ инструкция и вирус с ключом, НО после всего проделанного в инструкции результат был 0. Я малость был в шоке. НО почесав репу восстановил зашифрованные файлы из резервного архива, который я сделал перед проверкой утилитой касперского.
И О ЧУДО всё что было в резервном архиве прекрасно декодировалось программкой вымогателей.

От суда вывод - НЕ ТОРОПИТЕСЬ ЮЗАТЬ УТИЛИТУ от касперского, не всё она расшифровать может и как показывает опыт ещё и кодировку портит, так что сперва ДЕЛАЙТЕ полную копию зашифрованных файлов(а лучше ваще образ дисков) и тока потом пользуйте утилиту)
Денис-НН
Мысль правильная.
Но пойду чуть дальше - резервную копию ваших файлов нужно делать ДО заражения. И периодически обновлять.
Yury Parshin
QUOTE(gogolem @ 16.03.2012 16:08) *
Так люди добрые, пришлось оплатить вымогателям(весьма адекватные люди) 5000р, в ответ инструкция и вирус с ключом, НО после всего проделанного в инструкции результат был 0. Я малость был в шоке. НО почесав репу восстановил зашифрованные файлы из резервного архива, который я сделал перед проверкой утилитой касперского.
И О ЧУДО всё что было в резервном архиве прекрасно декодировалось программкой вымогателей.

От суда вывод - НЕ ТОРОПИТЕСЬ ЮЗАТЬ УТИЛИТУ от касперского, не всё она расшифровать может и как показывает опыт ещё и кодировку портит, так что сперва ДЕЛАЙТЕ полную копию зашифрованных файлов(а лучше ваще образ дисков) и тока потом пользуйте утилиту)

Утилита ничего не портит с настройками по умолчанию. Зашифрованные копии остаются на месте.

Сам вирус можете прислать?

П.С. Я правильно понимаю, что Вы на зараженной машине еще и сохранили чужие зашифрованные файлы в открытом виде?
Joker777
QUOTE(Yury.Parshin @ 16.03.2012 19:49) *
Утилита ничего не портит с настройками по умолчанию. Зашифрованные копии остаются на месте.

Подтверждаю...
alergen
Столкнулся с той же проблемой. Файлы зашифрованы расширение .LOCKFILE, просят связатся с UNLOCKMEN@EXCITE.COM.
Во вложении пара зашифрованных файлов и их исходники, если нужно пришлю еще. Идентификатор 86548764 (106).
Остается надеятся только на Вашу помощь в расшифровке.
У меня так же заблокирован доступ к диспетчеру задач и редактору реестра. Касперский при сканировании ни чего не находит, не могу понять вирус еще не определяется или его уже нет на компе и я наблюдаю лишь его последствия?
thyrex
QUOTE(alergen @ 17.03.2012 12:44) *
Столкнулся с той же проблемой. Файлы зашифрованы расширение .LOCKFILE, просят связатся с UNLOCKMEN@EXCITE.COM.
http://support.kaspersky.ru/faq/?qid=208637174 пробовали?

QUOTE(alergen @ 17.03.2012 12:44) *
У меня так же заблокирован доступ к диспетчеру задач и редактору реестра. Касперский при сканировании ни чего не находит, не могу понять вирус еще не определяется или его уже нет на компе и я наблюдаю лишь его последствия?
Выполните http://forum.kaspersky.com/index.php?showtopic=218224
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2014 Invision Power Services, Inc.