Вниманию пользователей, пострадавших от lockdir.exe

[TheSAS]

HDNw784@&$83fNVEWNnedNAWNDnf7
Еще один пароль

[dimeusss]

Мои соболезнования , но вряд ли тебе кто то поможет ((( если инфа ценная то нужно заплатить ,хотя я понимаю что таким платить нельзя но выбора особого нет , и к стати как ты подмотал сие ?? на сервак или просто на комп , RDP был на серваке , если это на серваке ?

Сервак W2003
Rdp - есть
Шары - нет
Как попало так и не вычеслил, журналы вычещены......
Поймали lockdir 5.7
На диске д было две папки ПАПКА1 и ПАПКА2.....Внутри папок лежали базы.
Утро. Пропадает доступ к базам...на диске д появляется lockdir.exe....ПАПКА1 и ПАПКА2 помечаются замками.Доступ к папкам закрыт.

Мои действия.
1. Вырубили сервер.
2. Отрубили от локалки.
3. Включаем сервак.......получаем NTDLR is missing ....Во блин...
4. Востанавливаем NTDLR...(процедуру ищите в инете)
5. Запускаем сервак....
6. ставим 7zip 9.2
7. Открываем ПАПКА1 через 7zip......И вот блин повезло!!!!!....Видим Файлы базы....
8. Копируем на флеху...
9. Подключаем на другом серваке.....ФУУУХ работает.

P.S.
NTDLR is missing выскакивал каждый раз при перезагрузке сервака...
Лохмандеи просили 3900 рублей.

P.P.S
У нас второй случай (на разных фирмах). В первом случае помог один из кодов в теме.

[Олег Колесник]

Сервак W2003
Rdp - есть
Шары - нет
Как попало так и не вычеслил, журналы вычещены......
Поймали lockdir 5.7
На диске д было две папки ПАПКА1 и ПАПКА2.....Внутри папок лежали базы.
Утро. Пропадает доступ к базам...на диске д появляется lockdir.exe....ПАПКА1 и ПАПКА2 помечаются замками.Доступ к папкам закрыт.

Мои действия.
1. Вырубили сервер.
2. Отрубили от локалки.
3. Включаем сервак.......получаем NTDLR is missing ....Во блин...
4. Востанавливаем NTDLR...(процедуру ищите в инете)
5. Запускаем сервак....
6. ставим 7zip 9.2
7. Открываем ПАПКА1 через 7zip......И вот блин повезло!!!!!....Видим Файлы базы....
8. Копируем на флеху...
9. Подключаем на другом серваке.....ФУУУХ работает.

P.S.
NTDLR is missing выскакивал каждый раз при перезагрузке сервака...
Лохмандеи просили 3900 рублей.

P.P.S
У нас второй случай (на разных фирмах). В первом случае помог один из кодов в теме.

ПОВЕЗЛО , у нас все файлы были зашифрованы 256 битным ключом , поэтому папки достать можно было но в нутри все файлы были вот такого вида 2546852158754354.RN посиму борода (((
А RDP был доступен по инету из вне ???

[zolot]

Lockdir идентификатор 476592 http://virusinfo.info/showthread.php?t=137036 ни один из кодов не подошел(((

[Rogue.Daev]

Номер 128596 на мыло [email protected]
Версия 5.6.0.95
Увы ни 1 ключ с топика не прокнул =(
Редиски хотят 3.5к рэ.
Ох чую придется платить(((

[regist]

Код:

759503974648jfbryrujh^$$%^&*))^$@@%&*()jdnfhfjkfkj

[dimeusss]

Вычислили одну закономерность.... У нас 3 клиента пострадало от этой заразы. 2м подошли ключи с топика, 1му востановили с помощью 7zip 9.2..... Так вот... Все клиенты по той или иной причине (разработчики 1с, админы, и т.п. передавали пароли от рдп по маил. ру в открытом виде (в теле письма)... Будьте внимательны, возможно письма мониторят!!!!!

P.S.
Мы на всякий який всем поставили доп машинки с sql-ми...загнали туда наши 1сные базы и закрыли доступы (шары и рдп)....Получили один сервак терминальный, второй - базы в sql-ке. + бекапирование силами sql с отчетами по почте.

[milla-vel]

У меня таже фигня, вчера на работе запускаю 1с а мне выдаёт всем известную фразу .........выход есть, оторвать бы этому красаве что нибудь, и так чтоб помучался......
Помогите кто может, перепробовала все коды, результат 0, денег таких нет платить, а отчёты на носу и что делать незнаю

- - - Updated - - -

Номер 268152 на мыло [email protected]

[Tlonik]

вот ключ для 159753
помогли ребята с http://i-s.kiev.ua/vosstanovit-fayli-lockdir-exe.html
правда пришлось бабла отстегнуть.... но выхода не было.... ((
всем пострадавшим - соболезнования

SDVNurh74HVSKnvSVNDJnrsvsNSJVvs

[milla-vel]

Ребята помогите, я просто в ауте ..........

[Tlonik]

Ребята помогите, я просто в ауте ..........

не удаляй файлы lockdir.exe и system.db
лучше пока вообще ничего не трогай

обращайся к хлопцам (см. пост выше)

[milla-vel]

на dr.web, ответили ''Ваш запрос был проанализирован. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.''

[milla-vel]

НУ помогите пожалуйста, как что и куда отправить я на форумах новичок

[Radar]

привет. ага такая же история. с такимже паролем. дешифратотор нашли? если нашли под поделитесь плиз

Вот еще один номер в системе 628152 JVEMm38fmnS*38f3#&nmfSMEVMr&e
4500р
Ключ подошел, но расшифровались не все файлы.

[azubrilov78]

Tlonik
Огромное спасибо!!! За помощь!!! Расшифровал более 100 Гб зашифрованной информации lockdiroм: 1С и т.д

[milla-vel]

ФАЙЛЫ Я СМОГЛА ВЫТАЩИТЬ, НО ВСЕ ФАЙЛЫ ИДУТ С РАСШИРЕНИЕМ RN, У КОГО ПОЛУЧИЛОСЬ ИХ РАСШИФРОВАТЬ???

[Tlonik]

ФАЙЛЫ Я СМОГЛА ВЫТАЩИТЬ, НО ВСЕ ФАЙЛЫ ИДУТ С РАСШИРЕНИЕМ RN, У КОГО ПОЛУЧИЛОСЬ ИХ РАСШИФРОВАТЬ???

Я их тоже вытащил тотал коммандером, а смысл?... Без ключа дела не будет...

[azubrilov78]

Ваш id из файла Выбор есть.jpg укажите плиз, чем смогу помогу

[dimeusss]

Номер 128596 на мыло [email protected]
Версия 5.6.0.95
Увы ни 1 ключ с топика не прокнул =(
Редиски хотят 3.5к рэ.
Ох чую придется платить(((

Ну вот у нас еще один клиент, с такой же фигней как у вас.....Успели выключить сервак...Ломали при нас...ПО РДП...
Сервак успели вырубить...файлы достали 7zip-ом....
На серваке нашли много интересного...выложу позже....
IP с которого ломали...89.237.30.41 Провайдер в Челябинске.... дальше попробуем найти.... БЕГИ ПАРЕНЬ БЕГИ!!!!!!!

[milla-vel]

Ваш id из файла Выбор есть.jpg укажите плиз, чем смогу помогу

Номер 628152 на мыло [email protected]