вот такая беда сегодня с утра
http://s019.radikal.ru/i637/1205/75/c445ec6fbcdf.jpg

на диске только эта картинка, файл lockdir.exe, просящий пароль
и файл thumbs.ms в котором моих файлов нет, скорее всего они зашифрованы

кто нить побеждал пакость?

(64)вроде вот
http://rghost.ru/38235772

wiki:Blowfish

(50) +

шифровальщик принесенный вирусом вполне может быть лигитимной программой

http://pctuneguide.blogspot.com/2011/02/how-to-crack-password-of-lockdirexe.html

How to crack password of lockdir.exe
Go to your lock folder.
Open file and folder options. go to view tab and uncheck the hide protected operating system files(recommended).
A file named thumbs.ms with printer icon is appeared in lock folder.
Right click on it.
Make it rar file by clicking on "add to lockdir.rar"
Open thumbs.rar and click on the folders in series.
Now you able to watch videos, pictures, documents.
To restore these files.
Unrar the files from thumbs.rar
Go to start>run and type %temp% and click enter.
find the folder in which your file is save.
Copy the file in hard drive beacuse temp is a temporary location.

(72) у меня так не получилось

(71) хотя некоторые буржуйские антивирусы на него таки ругнулись

где-то должен быть ключ. поищи в потоках, подозрительные файлы, и т.д.

lockdir.exe

Файл в процессе обработки.

С уважением, Лаборатория Касперского

"123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

при попытки отправить этот файл по почте через джимейл



lockdir.rar  194,00КБ - Обнаружен вирус! Попробовать снова Удалить Справка
Прикрепить еще один файл

Здравствуйте,

Присланный файл поврежден (половина файла нулевая). Поэтому мы его не определяем, как вирус.


С уважением, Антон Калинин
Вирусный аналитик



вот что ответили в касперском))))

наша хата с краю ничего не знаем ,сами  партесь

(78) сам проверил? действительно поврежден?

(80)   да ну его проверять.удалил к черту)))

Пришел ответ от жуликов, за 1800 вышлют пароль.
Доктор Веб молчит.

(82)

> Пришел ответ от жуликов, за 1800 вышлют пароль.

напиши им что передашь деньги лично. Назначь встречу в темном переулке и позови друзей-1снегов.

бэкапы рулят

(82) попроси их выставить счет, а после оплаты прислать счет-фактуру за оказанные услуги :)

(82) в отдел "К" можешь обратиться... Только геморно это будет

(84) я уверен у больше чем половина нашего сообщества бекапы делаются на отдельный винт, но на этой же машине. На нашей было два винта, оба зашифрованы :)

(87) прям сейчас делаю бэкап на внешний винт

(87)А вот фиг, сетевой диск файлопомойки.

(78) > Присланный файл поврежден (половина файла нулевая). Поэтому мы его не определяем, как вирус.
похоже его у них антивирь при приеме пожевал.

(87) у меня перекрестное резервное копирование между тремя серверами, но я за вирусы не боюсь, хоть и антивирусы не установлены, юзаю политику ограниченного использования программ - запрещено все, что не разрешено

(91)
главное пользователям привилегий не давать....
политику ограниченного использования программ - спасает только от бездумного тыкания юзера и запуска чего попало

(0)
короче автору не повезло....
если действительно Blowfish - то можно ставить крест
+ единственная надежда lockdir.exe поломать и выдрать с него пароль
так что будем ждать...

(93) а кто сказал, что пароль лежит в lockdir.exe? он может лежать где угодно - в потоках, в спец.файле, в MBR/VBR, вплоть до того, что вообще в явном виде его нет, а он может генерится на основании данных оборудования (материнка, жёсткий диск и т.д.)

(94)
хе ну и что ?
главное сам алгоритм найдут
а там сделают какой нить антилокдир и все

на каждом компе он будет брать пароль в "- в потоках, в спец.файле, в MBR/VBR, вплоть до того, что вообще в явном виде его нет, а он может генерится на основании данных оборудования (материнка, жёсткий диск и т.д.)"
:)

если с инета откуда берет ключ - вычислят и посадют

Много интересного тут написали.Непонятно как защититься от этого вируса? Быкапы на разных машинах это понятно.Ещё что?

(96)
доступ к бэкапам ограничить конкретно

(95)Если его нет, то как Автор вируса будет разблокировать комп?

Идти в Полицию и подавать заяву, что вас нагнули :)
И при этом требуют бабло.
Так что яндекс почта не Gmail и она подвластна органам, а там если они примутся, а они примутся, может изловят злыдней.

Правда автору не помогут восстановить БД, но будет ему урок :)

(97)Как именно? Интересно можно ли давать атрибут только чтение файлам созданным 7zip через батник?

(98)
Если его нет то плохо...

(99) при чём здесь яндекс-почта?

(100) и ты думаешь, этот атрибут тебе поможет?

(100)
на vbs как то так:

Dim fso1
Set fso1 = WScript.CreateObject("Scripting.FileSystemObject")
Set gFile = GetFile ("c:\test1.txt")
gFile.Attributes = 1
Function GetFile(sFile)
           On Error Resume Next
           Set GetFile = Fso1.GetFile(sFile)
           If Err.Number <> 0 Then
                       WScript.Echo("Error Connecting to: " & sFile)
                       WScript.Quit Err.Number
           End If
End Function

(103)
ну если бэкап разрешен доступ для админов а ломиться вирь от имени пользователя, то должно помочь
у меня например расшареные бэкаповские файлопомойные папочки никто кроме админов даже не видит

(105)
конечно если вирь с админа пришел :) тогда .... плохо

+(106)
вот почему рекомендуется работать только под пользователем
а админской учеткой пользоваться ограничено и осторожно

на одной работе был случай когда ловили блокировщик системы на вполне приличном сайте с книжками для преподавателей. Еще встречал блокировщик который на уровне браузера работает, каким то образом из Firefox-а блокирует браузер и винду, но не так жестко как загрузочный блокировщик - помогает перезагрузка

(108)Firefox - без 3-ех дополнений не лучше любого браузера :)

для бабусь надо ставить дополнение NoScript, ни одна зараза не пройдет )

Веб и Касперский до сих пор помочь не смогли.
Полиция приезжала составила протокол, четких указаний что делать дальше дать не может.
Собираемся башлять. А хули делать?
Может посоветуете что-нить...

(111) 1800 это в рублях?

Вроде по божески еще работают.

так пора на домашнем и рабочих компах привыкать работать на учетке с правами обычного юзера.

(112) Это если еще они пароль дадут.

Вот только сегодня бухше пришло письмо с "актом сверки". "чотатам.хлс.ехе".
Ессно она это дело запустила. Сидит и полчаса тыкает, почему не открывается??

словила древнюю хрень, файло в автозагрузке лежит смело с криминальным именем.
Думал маскируют так чота посерьезней - нифига.

школоло, видимо, тренируется )

(112) 2800 за каждый жесткий диск

(100)А в чем проблема?

(116) а че, менты контрольную закупку отказались делать?

(111) Какони хотят бабло получить ? давай мне их реквизиты, в миг попу надерем !

че-то вроде ерунда написана: http://pctuneguide.blogspot.com/2011/02/how-to-crack-password-of-lockdirexe.html

я запускался под виндой с командной строкой
дале запускаем эксплорер
Далее ищем все файлы что были
Главное знать когда словили

(115) эту бухшу под расстрел (ограниченные права ставить)

Кстати недавно у двух клиентов, через терминал выставленный в инет по подбору паролей группа товарищей из украины попадала в рабочий стол (в выходные дни) и запускала шифратор файлов по расширению (документы, базы 1с, и архивы), и оставляля текстовый файл, за расшифровку просили 100$ на вебмани, одни заплатили, а вторый платили но с протекцией сделки по коду, в итоге одна база полность разрушена поскольку данные шифровались в момент работы базы, но востановили из архива. Так вот с протекцией после того как прислали файл мы код не сообщили, и деньги вернули обратно.

вот как уберечься:
действенный метод не допустить кодировку файлов - поместить в папки с ключевыми данными пустой файл с именем thumbs.ms дать ему атрибуты скрытый,системный,толькочтение и в случае нтфс убрать в безопасности все разрешения для всех. а дальше, думаю догадались, вирус не сможет создать в папке с этим файлом папку thumbs.ms и все останется на своем месте

(119) на ВебМани денег просят
(121) все файлы зашифрованы

Отправьте на Вебмани с протекцией сделки по коду, в арбитраж сообщите о данной операции и Wmid вымогателей

(124)До тех пор, пока вирус не модифицируют :)

(126) вот это уже интересно. Тут только такое дело, информация с винтов нам очень важна и очень нужна. Как бы жулики вообще не психанули и не ушли в подполье, итак уже за лишню болтовню с ними увеличили стоимость своих услуг. Как бы это форум не читали они еще :)

жулики-то русские, в чем проблема их отследить?

а проблемы нет, т.к. не отследишь почти. регают кучу кошельков, до 5000 руб - аттестат не надо получать. переводят на мобилу деньги потом по карточке зарегеной на бомжа снимают

выходят через каскады проки

(130) По карточке зарегеной на бомжа ? В любом случае снимающего можно поймать так сказать за руку в момент снятия бабла, сегодня средства позволяют это сделать. Без каких либо проблем !

ну эт будет чисто исполнитель, но не создатель - организатор. у знакомых с клиента банка увели бабло вирусняком - платеж на ФИЗЛИЦО на сбербанк, общались с СБ шниками - грят счас полно такого. переводят на сбер и ночью снимают в любом банкомате. пеервод на мужское лицо - а по камере тетя снимает ночью. оч. сложно поймать

плюс можно приявазать карту мастер/виза и снимать заграницей

(manyak) в тебе побеждает темная сторона силы

(135) не :))))

просто горькое осознание того что "сегодня средства позволяют это сделать" обеим сторонам :). вирусом управление шло с германских IP снимают почти под ноль.

посля темного дела: убирает разбивку дисков, портит MFT

(133) исполнителя преступления надо отпустить с миром?

(139)нет конечно! поймать - только как? и наказать.

Да, бросьте Вы! Пенты даже яйца не почешут из-за 1800 руб.

"По информации из службы вирусного мониторинга к сожалению расшифровать не представляется возможным, пароль из 36 символов, не подобрать. С уважением,
служба технической поддержки компании "Доктор Веб".

(142) каким алгоритмом зашифровано?

(143) ==> (64)

Уж какой день едет, авто все еще не получил заветные файлы :DDDD
Проще было вообще снести систему ;)

Может кому поможет: http://forum.drweb.com/index.php?showtopic=309254

(144) слабый шифр

(147) да ну! тогда расшифровывай, хацкер

(148) что? винта нету

(149) ==> (68)

(150) у меня видеокарта слабая

Вот и все, по 2800 за два винта, плюс 500р за попытку обмануть.
Заплатили 6100р.
Вот код
weqdsadxf18gd8f4dh6fg62gf1cv5vnhj569

не иначе )

Россия выиграла чемпионат мира по программированию

(0)в марте ловили этого зверя , побороть не вышло , пришлось платить бабки (правда мыло было другой) , обращались тогда в лабораторию доктор вебера (высылали запрашиваемые файлы) - вот цитата из письма "Пароль 12 символов, перебор займет не один месяц." . после того как нам выслали пароль отсылал его в лабораторию в надежде , что это хоть как то поможет им в дальнейшем

(154)а как вы его словили,не знаете?

(155) точно установить не удалось , но основной версией было по почте

будь мужиком, заплати бабло, блеать! (люди же старались)

Как я понимаю от полицаев толку чуть?
они только пиратский софт выявлять умеют?

(158)они только блокируют емейлы\кошельки злоумышленников и разблокирование становится не возможным

(158) реально не понимаю почему нельзя навести порядок в данной сфере...

ведь проще простого обязать банки запретить открытие счетов "на предьявителя", конечно тогда будут юзать электонные деньги и т.д. но деньги должны иметь реальный выход, ну не верю что нельзя раскрутить 2-3 цепочки в месяц, а этого будет вполне достаточно, не так много этих говнописцев...

(159) у нас в одном филиале , директор филиала под правами админа запустил эту хрень , мыло уже не отвечало

(160) а какой им с этого выхлоп? на проверках софта можно собрать гораздо больше дивидендов, причём не в эфемерный государственный карман, а в свой, личный

(160) причём примерно то же самое творится и в мобильной среде с короткими номерами

(160) А кто михалкову будет тогда бабло собирать, у нас только его интересы должны соблюдаться

(162) вывод напрашивается сам

в это виноват Путин... при чем вывод вполне реальный, он не может навести порядок в органах, а органы не могут навести порядок в стране.

обидно, и вроде за Путина головал, но сам себя мордой в грязь :)

(160) этим никто не будет заниматься, пока этот блокировщик не зашифрует базы пенсионного фонда, например

(165) +1