вот такая беда сегодня с утра
http://s019.radikal.ru/i637/1205/75/c445ec6fbcdf.jpg

на диске только эта картинка, файл lockdir.exe, просящий пароль
и файл thumbs.ms в котором моих файлов нет, скорее всего они зашифрованы

кто нить побеждал пакость?

Много пакостей побеждал, но такую еще не видел.

Такую не видел, но думаю Касперский поможет.

http://sms.kaspersky.ru/

да каспер собака та еще - писал им письмо о расшифровке файлов, файлы прикладывал, молчат уже второй день блин

(4)  ты им лям баков проплатил, чтобы возмущаться?

Там еще такой момент - мог ли он относительно быстро зашифровать все файлы ?

http://itbuben.org/blog/beza/2100.html

Интересный локер...

(6) а кто сказал, что это было быстро?

(0) выложи тело вируса в запароленном архиве

пакость зашифровала все файлы
касперский стоял, лицензионный, пропустил както :( беда

очередной наивный чукотский мальчик, думающий, что, раз у него стоит лицензионный антивирус, можно лазить по порносайтам, открывать левые письма от сбербанков и прочих незнакомцев, есть огурцы с молоком, и ничего ему от этого не будет

(10) а нахрена он тебе
здесь есть ссылки качай
http://forum.kaspersky.com/index.php?showtopic=224916

(12)+1

(11) Обратись в Отдел К. пусть работают. мож поймают негодяев.

(13) модификаций, как правило, много разных

А они точно зашифрованы, а не скрыты?
Зашифровать файлы дело не минутное, к тому же места должно быть свободного дохрена...

(0) раскажи как словил ?

бу-га-га :)

(17) "..сижу, смотрю, руками лениво передергиваю писю..."

(16)Если только за минуту зашифровали не файлы, а заголовки файлов.
(17)Как обычно, качал порно, но с без анти вирусника :)
Вообще сколько не спрашивал, как поймать блокировщик, то чаще всего через Интернет Експлор ИЕ просмотр видео фалов :)

(10) slil.ru чтото втупляет, подскажите другое место куда выложить
(16) однозначно не скрыты
(17) словили на рабочей машине, порнуху вроде никто не глядел, тупо некогда :), пока незнаем как словили

зра смеетесь, были варианты когда его присылали от имени банка, якобы есть задолжность
и юзвери запускали, незадумываясь

(21)Конечно, если поднять логи, то наверняка будет гей порно.
А порно файл уже был в системе, ну там скаченный Видео файл.
Так то в некоторые видео файлы можно вкладывать исполняемые скрипты.

(21)zalil.ru

пакуешь тело зипом с паролем 54321, и ложишь на zalil.ru

+(21)>>> однозначно не скрыты
Снеми винт, отруби у себя на компе авто запуск с винтов "По умолчанию это врублено" И посмотри, что да как :)

(22) Ну дык влажения тоже с умом запускать надо.
У меня оутпост кстати все расширения у почтовых вложений меняет. просто так хрен запустишь.

(27) попробу это рассказать, например бухам или менегерам, им что в лоб что полбу

(22) ага, а ещё на телефон приходят смски, что ты выиграл пор каен, и тоже надо обязательно ответить, а вдруг?

(26) смотрел через лайвсд

+(29) *порш каен

(28)Тогда селяви, через пару дней просто форматировать диск и переустановка системы.

(30) пока не поздно, сделай слепок с диска

вот файл

http://zalil.ru/33290490

пароль tyktyk

(30)Через что?
Ты диск снимал?
Ты диск вообще смотрел через утилиту, не там просмотр удаленных файлов?

Зашифровать весь, даже 20-ти гиговый винт невозможно, не те мощности у рабочих ПК.
Так что все что мог вирус натворить, это зашифровать заголовки файлов.

файл упакован UPX, но сам UPX его не распаковывает (ругается на чексум и заголовок)

(5) клиент 92 косаря в год заплатил за 100 лицензий...

(37) вот зип
http://rghost.ru/38233048

дрвеб и каспер со свежими базами не видят в нём угрозы

(39) ты не понял, я архив распаковал, я уже про сам экзешник говорю

У меня (в моей практике точнее) подобны вирус зашифровал все doc, xls файлы.

(38) тогда есть повод повозмущаться

возможно, это не само тело трояна, а только блокировщик и дешифратор. а сам троян самоуничтожился

(42)И как много было файлов?
Общий размер приведи?

(35) диск не снимал, загрузился через LiveCD
смотрел через Recover My Files нифига там не увидел моих файлов

(45) около 60 гб

советую попробовать связаться с др.вебом
https://support.drweb.com/support_wizard/?lng=ru

прогой GetDataBack получилось получить зашифрованные файлы, вот их примеры
http://rghost.ru/38234587

(36) вполне возможно, что блокировщик уже давно сидел в системе и потихоньку шифровал все файлы, когда надо было на лету расшифровывал, а когда настал час Х, все заблокировал нафиг

(49) ты обратился к какой-нибудь группе? (дрвеб, каспер, и т.д.)

(0)Загрузись с LiveCD и проверь наличие своих файлов. Я уверен что они на месте и не зашифрованы.
Ну оттуда же и убей паразита.

(46)Ого!

(46)Я не думаю что он зашифровал файлы, скорее все-таки хитрости с MFT, т.е зашифрованы адреса фалов на диске и имена.

(54) а в чём сложность зашифровать файлы?

все антивирусные компании ответят только тогда когда ты укажешь свою лицензию что ты купил их продукт.так что меры они может и примут но ответят необязательно если не укажешь что ты пользуешься их софтом за бабки

(51) да, к DrWebу, ответили что занимаются мною

(55)Время.

(46) убедись, что жесткий диск не обрезан на аппаратном уровне, объем жесткого диска в норме? (не раздела)

(58) а в чем сложность со временем?

+(57) и вымогателям написал, но они молчат :)
(59) объем в порядке

(58) не вижу проблемы. троян кто-то ограничивал во времени?

(60)Это долго и неэффективно, больше шансов нарваться на противодействие.
Проще сделать видимость шифрования, и нужен постоянно работающий драйвер позволяющий работать с уже зашифрованными файлами, пока процесс шифрования не завершен.
Т.е технически это более сложно реализовать, чем банальная работа с MFT.

если это не для того, чтобы сбить с толку, то файлы зашифрованы с помощью BlowFish

есть хотя бы один образец пары нормального файла и зашифрованного?

(63) http://itbuben.org/blog/beza/2100.html
"Принцип работы этого непонятного гада.

1. Создает кучу кусков кода, которые антизверь хавает и оред ГАЛАКТИКЕ В ОПАСНОСТЕ Насяльнике, пока ты гоняешься за кусками троев, этот гад, нагло и без тени смущения, запускает криптограф, кодирует его, и ставит в задачи запуск активации на след день.
2. Пока ты выловил всех зверьков со своими верными антивирусами и гладишь его по голове, скармливая очередной файло лицензии, злобный враг уже все подготовил к вторжению на твою бедную машину. и вод после 00-00, эта цyкa запускается и шифрует, ну а дальше как описано и обкакано в интернетах."

отправил запрос с этим файлом касперскому посмотрим что ответят

(63) BlowFish даже используется в транспортных системах для кодирования "на лету", не вижу никакой проблемы, препятствующей закодировать весь диск за пару-тройку часов

(64)вроде вот
http://rghost.ru/38235772

wiki:Blowfish

(50) +

шифровальщик принесенный вирусом вполне может быть лигитимной программой

http://pctuneguide.blogspot.com/2011/02/how-to-crack-password-of-lockdirexe.html

How to crack password of lockdir.exe
Go to your lock folder.
Open file and folder options. go to view tab and uncheck the hide protected operating system files(recommended).
A file named thumbs.ms with printer icon is appeared in lock folder.
Right click on it.
Make it rar file by clicking on "add to lockdir.rar"
Open thumbs.rar and click on the folders in series.
Now you able to watch videos, pictures, documents.
To restore these files.
Unrar the files from thumbs.rar
Go to start>run and type %temp% and click enter.
find the folder in which your file is save.
Copy the file in hard drive beacuse temp is a temporary location.

(72) у меня так не получилось

(71) хотя некоторые буржуйские антивирусы на него таки ругнулись

где-то должен быть ключ. поищи в потоках, подозрительные файлы, и т.д.

lockdir.exe

Файл в процессе обработки.

С уважением, Лаборатория Касперского

"123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

при попытки отправить этот файл по почте через джимейл



lockdir.rar  194,00КБ - Обнаружен вирус! Попробовать снова Удалить Справка
Прикрепить еще один файл

Здравствуйте,

Присланный файл поврежден (половина файла нулевая). Поэтому мы его не определяем, как вирус.


С уважением, Антон Калинин
Вирусный аналитик



вот что ответили в касперском))))

наша хата с краю ничего не знаем ,сами  партесь

(78) сам проверил? действительно поврежден?

(80)   да ну его проверять.удалил к черту)))

Пришел ответ от жуликов, за 1800 вышлют пароль.
Доктор Веб молчит.

(82)

> Пришел ответ от жуликов, за 1800 вышлют пароль.

напиши им что передашь деньги лично. Назначь встречу в темном переулке и позови друзей-1снегов.

бэкапы рулят

(82) попроси их выставить счет, а после оплаты прислать счет-фактуру за оказанные услуги :)

(82) в отдел "К" можешь обратиться... Только геморно это будет

(84) я уверен у больше чем половина нашего сообщества бекапы делаются на отдельный винт, но на этой же машине. На нашей было два винта, оба зашифрованы :)

(87) прям сейчас делаю бэкап на внешний винт

(87)А вот фиг, сетевой диск файлопомойки.

(78) > Присланный файл поврежден (половина файла нулевая). Поэтому мы его не определяем, как вирус.
похоже его у них антивирь при приеме пожевал.

(87) у меня перекрестное резервное копирование между тремя серверами, но я за вирусы не боюсь, хоть и антивирусы не установлены, юзаю политику ограниченного использования программ - запрещено все, что не разрешено

(91)
главное пользователям привилегий не давать....
политику ограниченного использования программ - спасает только от бездумного тыкания юзера и запуска чего попало

(0)
короче автору не повезло....
если действительно Blowfish - то можно ставить крест
+ единственная надежда lockdir.exe поломать и выдрать с него пароль
так что будем ждать...

(93) а кто сказал, что пароль лежит в lockdir.exe? он может лежать где угодно - в потоках, в спец.файле, в MBR/VBR, вплоть до того, что вообще в явном виде его нет, а он может генерится на основании данных оборудования (материнка, жёсткий диск и т.д.)

(94)
хе ну и что ?
главное сам алгоритм найдут
а там сделают какой нить антилокдир и все

на каждом компе он будет брать пароль в "- в потоках, в спец.файле, в MBR/VBR, вплоть до того, что вообще в явном виде его нет, а он может генерится на основании данных оборудования (материнка, жёсткий диск и т.д.)"
:)

если с инета откуда берет ключ - вычислят и посадют

Много интересного тут написали.Непонятно как защититься от этого вируса? Быкапы на разных машинах это понятно.Ещё что?

(96)
доступ к бэкапам ограничить конкретно

(95)Если его нет, то как Автор вируса будет разблокировать комп?

Идти в Полицию и подавать заяву, что вас нагнули :)
И при этом требуют бабло.
Так что яндекс почта не Gmail и она подвластна органам, а там если они примутся, а они примутся, может изловят злыдней.

Правда автору не помогут восстановить БД, но будет ему урок :)

(97)Как именно? Интересно можно ли давать атрибут только чтение файлам созданным 7zip через батник?

(98)
Если его нет то плохо...

(99) при чём здесь яндекс-почта?

(100) и ты думаешь, этот атрибут тебе поможет?

(100)
на vbs как то так:

Dim fso1
Set fso1 = WScript.CreateObject("Scripting.FileSystemObject")
Set gFile = GetFile ("c:\test1.txt")
gFile.Attributes = 1
Function GetFile(sFile)
           On Error Resume Next
           Set GetFile = Fso1.GetFile(sFile)
           If Err.Number <> 0 Then
                       WScript.Echo("Error Connecting to: " & sFile)
                       WScript.Quit Err.Number
           End If
End Function

(103)
ну если бэкап разрешен доступ для админов а ломиться вирь от имени пользователя, то должно помочь
у меня например расшареные бэкаповские файлопомойные папочки никто кроме админов даже не видит

(105)
конечно если вирь с админа пришел :) тогда .... плохо

+(106)
вот почему рекомендуется работать только под пользователем
а админской учеткой пользоваться ограничено и осторожно

на одной работе был случай когда ловили блокировщик системы на вполне приличном сайте с книжками для преподавателей. Еще встречал блокировщик который на уровне браузера работает, каким то образом из Firefox-а блокирует браузер и винду, но не так жестко как загрузочный блокировщик - помогает перезагрузка

(108)Firefox - без 3-ех дополнений не лучше любого браузера :)

для бабусь надо ставить дополнение NoScript, ни одна зараза не пройдет )

Веб и Касперский до сих пор помочь не смогли.
Полиция приезжала составила протокол, четких указаний что делать дальше дать не может.
Собираемся башлять. А хули делать?
Может посоветуете что-нить...

(111) 1800 это в рублях?

Вроде по божески еще работают.

так пора на домашнем и рабочих компах привыкать работать на учетке с правами обычного юзера.

(112) Это если еще они пароль дадут.

Вот только сегодня бухше пришло письмо с "актом сверки". "чотатам.хлс.ехе".
Ессно она это дело запустила. Сидит и полчаса тыкает, почему не открывается??

словила древнюю хрень, файло в автозагрузке лежит смело с криминальным именем.
Думал маскируют так чота посерьезней - нифига.

школоло, видимо, тренируется )

(112) 2800 за каждый жесткий диск

(100)А в чем проблема?

(116) а че, менты контрольную закупку отказались делать?

(111) Какони хотят бабло получить ? давай мне их реквизиты, в миг попу надерем !

че-то вроде ерунда написана: http://pctuneguide.blogspot.com/2011/02/how-to-crack-password-of-lockdirexe.html

я запускался под виндой с командной строкой
дале запускаем эксплорер
Далее ищем все файлы что были
Главное знать когда словили

(115) эту бухшу под расстрел (ограниченные права ставить)

Кстати недавно у двух клиентов, через терминал выставленный в инет по подбору паролей группа товарищей из украины попадала в рабочий стол (в выходные дни) и запускала шифратор файлов по расширению (документы, базы 1с, и архивы), и оставляля текстовый файл, за расшифровку просили 100$ на вебмани, одни заплатили, а вторый платили но с протекцией сделки по коду, в итоге одна база полность разрушена поскольку данные шифровались в момент работы базы, но востановили из архива. Так вот с протекцией после того как прислали файл мы код не сообщили, и деньги вернули обратно.

вот как уберечься:
действенный метод не допустить кодировку файлов - поместить в папки с ключевыми данными пустой файл с именем thumbs.ms дать ему атрибуты скрытый,системный,толькочтение и в случае нтфс убрать в безопасности все разрешения для всех. а дальше, думаю догадались, вирус не сможет создать в папке с этим файлом папку thumbs.ms и все останется на своем месте

(119) на ВебМани денег просят
(121) все файлы зашифрованы

Отправьте на Вебмани с протекцией сделки по коду, в арбитраж сообщите о данной операции и Wmid вымогателей

(124)До тех пор, пока вирус не модифицируют :)

(126) вот это уже интересно. Тут только такое дело, информация с винтов нам очень важна и очень нужна. Как бы жулики вообще не психанули и не ушли в подполье, итак уже за лишню болтовню с ними увеличили стоимость своих услуг. Как бы это форум не читали они еще :)

жулики-то русские, в чем проблема их отследить?

а проблемы нет, т.к. не отследишь почти. регают кучу кошельков, до 5000 руб - аттестат не надо получать. переводят на мобилу деньги потом по карточке зарегеной на бомжа снимают

выходят через каскады проки

(130) По карточке зарегеной на бомжа ? В любом случае снимающего можно поймать так сказать за руку в момент снятия бабла, сегодня средства позволяют это сделать. Без каких либо проблем !

ну эт будет чисто исполнитель, но не создатель - организатор. у знакомых с клиента банка увели бабло вирусняком - платеж на ФИЗЛИЦО на сбербанк, общались с СБ шниками - грят счас полно такого. переводят на сбер и ночью снимают в любом банкомате. пеервод на мужское лицо - а по камере тетя снимает ночью. оч. сложно поймать

плюс можно приявазать карту мастер/виза и снимать заграницей

(manyak) в тебе побеждает темная сторона силы

(135) не :))))

просто горькое осознание того что "сегодня средства позволяют это сделать" обеим сторонам :). вирусом управление шло с германских IP снимают почти под ноль.

посля темного дела: убирает разбивку дисков, портит MFT

(133) исполнителя преступления надо отпустить с миром?

(139)нет конечно! поймать - только как? и наказать.

Да, бросьте Вы! Пенты даже яйца не почешут из-за 1800 руб.

"По информации из службы вирусного мониторинга к сожалению расшифровать не представляется возможным, пароль из 36 символов, не подобрать. С уважением,
служба технической поддержки компании "Доктор Веб".

(142) каким алгоритмом зашифровано?

(143) ==> (64)

Уж какой день едет, авто все еще не получил заветные файлы :DDDD
Проще было вообще снести систему ;)

Может кому поможет: http://forum.drweb.com/index.php?showtopic=309254

(144) слабый шифр

(147) да ну! тогда расшифровывай, хацкер

(148) что? винта нету

(149) ==> (68)

(150) у меня видеокарта слабая

Вот и все, по 2800 за два винта, плюс 500р за попытку обмануть.
Заплатили 6100р.
Вот код
weqdsadxf18gd8f4dh6fg62gf1cv5vnhj569

не иначе )

Россия выиграла чемпионат мира по программированию

(0)в марте ловили этого зверя , побороть не вышло , пришлось платить бабки (правда мыло было другой) , обращались тогда в лабораторию доктор вебера (высылали запрашиваемые файлы) - вот цитата из письма "Пароль 12 символов, перебор займет не один месяц." . после того как нам выслали пароль отсылал его в лабораторию в надежде , что это хоть как то поможет им в дальнейшем

(154)а как вы его словили,не знаете?

(155) точно установить не удалось , но основной версией было по почте

будь мужиком, заплати бабло, блеать! (люди же старались)

Как я понимаю от полицаев толку чуть?
они только пиратский софт выявлять умеют?

(158)они только блокируют емейлы\кошельки злоумышленников и разблокирование становится не возможным

(158) реально не понимаю почему нельзя навести порядок в данной сфере...

ведь проще простого обязать банки запретить открытие счетов "на предьявителя", конечно тогда будут юзать электонные деньги и т.д. но деньги должны иметь реальный выход, ну не верю что нельзя раскрутить 2-3 цепочки в месяц, а этого будет вполне достаточно, не так много этих говнописцев...

(159) у нас в одном филиале , директор филиала под правами админа запустил эту хрень , мыло уже не отвечало

(160) а какой им с этого выхлоп? на проверках софта можно собрать гораздо больше дивидендов, причём не в эфемерный государственный карман, а в свой, личный

(160) причём примерно то же самое творится и в мобильной среде с короткими номерами

(160) А кто михалкову будет тогда бабло собирать, у нас только его интересы должны соблюдаться

(162) вывод напрашивается сам

в это виноват Путин... при чем вывод вполне реальный, он не может навести порядок в органах, а органы не могут навести порядок в стране.

обидно, и вроде за Путина головал, но сам себя мордой в грязь :)

(160) этим никто не будет заниматься, пока этот блокировщик не зашифрует базы пенсионного фонда, например

(165) +1