Перейти к содержимому


Фото
- - - - -

Блокировка файлов Lockdir


  • Закрыто Тема закрыта
107 ответов в этой теме

#61 Jokerok7

Jokerok7

    Newbie

  • Posters
  • 37 Сообщений:

Отправлено 11 Март 2012 - 22:01

Так и не решили проблему?

#62 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 11 Март 2012 - 22:05

Так и не решили проблему?

проблема у каждого своя. Вы файлы в вирлаб отправили (зашифрованные и сам вирус)?

#63 kazinaki

kazinaki

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 14 Март 2012 - 11:24

ДОбрый день. Поймали такой же вирус. Вытащил файл .RN отправил на вирлаб. Тикет #3262997. Через 3 дня прислали код. Код подходит, но при расшифровке расшифровывает эти же файлы .RN. Посмотрел на них внимательно, это просто файлы переименованы и сменено расширение. Видимо вирус сначала переименовывает их а потом lockdir'ом шифрует. Методом тыка стал восстанавливать расширения, т.к. в основном вордовские и экселевские файлы. Такие дела.

#64 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 14 Март 2012 - 11:26

ДОбрый день. Поймали такой же вирус. Вытащил файл .RN отправил на вирлаб. Тикет #3262997. Через 3 дня прислали код. Код подходит, но при расшифровке расшифровывает эти же файлы .RN. Посмотрел на них внимательно, это просто файлы переименованы и сменено расширение. Видимо вирус сначала переименовывает их а потом lockdir'ом шифрует. Методом тыка стал восстанавливать расширения, т.к. в основном вордовские и экселевские файлы. Такие дела.


Ну тут все вопросы к авторам софтины. На самом деле там HEX-кодирование имен, так что любой программер напишет тулзу.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#65 kazinaki

kazinaki

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 14 Март 2012 - 11:29

Чуть не забыл: спасибо сотрудникам Веба за помощь!!!


Ну тут все вопросы к авторам софтины. На самом деле там HEX-кодирование имен, так что любой программер напишет тулзу.

Можно поподробнее?

#66 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 14 Март 2012 - 11:33

Имя состоит из HEX-цифр: 0-1 и A-F. Берем по 2 цифры, переводим в значение, получаем символ исходного имени: "303132.RN" - 0x30, 0x31, 0x32 - "012".

Личный сайт по Энкодерам - http://vmartyanov.ru/


#67 kazinaki

kazinaki

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 14 Март 2012 - 11:45

Имя состоит из HEX-цифр: 0-1 и A-F. Берем по 2 цифры, переводим в значение, получаем символ исходного имени: "303132.RN" - 0x30, 0x31, 0x32 - "012".

Спасибо уже забрался.

#68 Jokerok7

Jokerok7

    Newbie

  • Posters
  • 37 Сообщений:

Отправлено 14 Март 2012 - 11:49

проблема у каждого своя. Вы файлы в вирлаб отправили (зашифрованные и сам вирус)?

Конечно отправлял, но результат нулевой. Видимо у меня более жёсткий шифратор, чем RN.

Сообщение было изменено Jokerok7: 14 Март 2012 - 11:51


#69 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 14 Март 2012 - 13:00

проблема у каждого своя. Вы файлы в вирлаб отправили (зашифрованные и сам вирус)?

Конечно отправлял, но результат нулевой. Видимо у меня более жёсткий шифратор, чем RN.

Что есть "результат нулевой"? Вам не ответили, файлы не расшифровываются, что-то другое?
С уважением,
Борис А. Чертенко aka Borka.

#70 Jokerok7

Jokerok7

    Newbie

  • Posters
  • 37 Сообщений:

Отправлено 14 Март 2012 - 13:11

Что есть "результат нулевой"? Вам не ответили, файлы не расшифровываются, что-то другое?

Сказали что из-за попыток самодеятельности нет ни желания, не сил помогать.

Сообщение было изменено Jokerok7: 14 Март 2012 - 13:13


#71 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 14 Март 2012 - 13:17

Что есть "результат нулевой"? Вам не ответили, файлы не расшифровываются, что-то другое?

Сказали что из-за попыток самодеятельности нет ни желания, не сил помогать.

Прямо так и сказали? :huh:
С уважением,
Борис А. Чертенко aka Borka.

#72 Jokerok7

Jokerok7

    Newbie

  • Posters
  • 37 Сообщений:

Отправлено 14 Март 2012 - 13:39

Прямо так и сказали?

Да, именно так(

#73 adp1965

adp1965

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 21 Май 2012 - 08:20

Интересно, кто-нибудь обращался в полицию с заявлением по данному вымогательству? Помоему это дело чисто для полиции.

#74 killerlost

killerlost

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 21 Май 2012 - 10:13

сегодня пришел на работу, базы пропали на 1С и документы многих пользователей

Решение было такое:
1. Каталог пользователя
2. отображать скрытые файлы
3. каталог Thumbs.ms( туда копирует всю инфу и документы)
4. соответственно куча каталогов в середине пока не добрался до тех которые мне нужны
5. и финал перенес все на место ))))

Сообщение было изменено killerlost: 21 Май 2012 - 10:13


#75 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 21 Май 2012 - 11:56

killerlost,
То есть файлы не были зашифрованы? Это отлично, Вам еще повезло.
сделайте логи по Правилам http://forum.drweb.com/index.php?showtopic=277652 в отдельной теме.

#76 kisska

kisska

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 21 Май 2012 - 12:25

Добрый день !!! Подскажите пожалуйста чем еще можно восстановить удаленный зашифрованный файл ??? Из вирлаба написали прислать зашифрованный файл и указали конкретно какой, а у меня его нигде нет... Пробовала программы :Data REcovery и Recuva - ничего к сожалению, не нашел...ПОМОГИТЕ ПОЖАЛУЙСТА !!! Заранее спасибо Вам.

#77 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 21 Май 2012 - 13:13

kisska, Точки восстановления на системе есть?

#78 kisska

kisska

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 21 Май 2012 - 13:19

Спасибо что ответили...первым делом посмотрели, но к сожалению галочки там не стояло - никак не отматаешь до заражения !

#79 kisska

kisska

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 21 Май 2012 - 14:05

Извините пожалуйста а есть ли еще какие-нибудь действенные способы чтобы найти и восстановить этот вирус (без которого никак не возможно расшифровать все документы как мне написали из вирлаба ) Помогите пожалуйста...уже нервы сдают...Спасибо

#80 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 21 Май 2012 - 14:11

kisska,
то есть не зашифрованный файл, а сам файл вируса?
сделайте лог cureit по правилам http://forum.drweb.com/index.php?showtopic=277652 , но ничего не лечить и не удалять из того, что найдёт cureit.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых