Вирус зашифровал файлы, прислоил расширение .LOCKDIR
Заметил, что на компьютере появились файлы с расширением LOCKDIR и файл ДЕБЛОКИРОВКА ФАЙЛОВ.txt в каждой папке с содержанием:
Внимание! На вашем компьютере,обнаружено нелицензионное
программное обеспечение.Доступ к вашим файлам запрещен !
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нашим отделом безопасности [email protected]
Идентификатор 86548764 (50)
Ваш компьютер поставлен на таймер самоуничтожения 24 часа , по истечении этого времени вся информация будет безвозвратно стёрта. У вас есть 5 попыток ввода кода. При превышении этого количества, все данные необратимо удаляться. Будьте
внимательны при вводе кода !
Заранее благодарим за оплату ! Мы ценим ваш вклад в развитие инновационно-технического прогресса.
1. Сделал клонирование диска зараженного компьютера.
2. Полечил CureIt!
3. В яндексе по симптомам попал на Ваш сайт.
4. В безопасном режиме выполнил скрипт утилиты AVZ
(после этого по невнимательности установил галку "лечение" и прогнал несколько минут.
5. Прогнал HiJackThis.msi.
Логи высылаю.
Если 4-й пункт критичен - восстановлю из копии все как было и повторю.
Помогите плиз с расшифровкой, данные очень важны.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) uryvaevgn, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Связались с вымогателями, выслали им пару файлов для разблокировки, они их вернули расшифрованными.
После этого были перечислены деньги 2500 руб. В ответ пришло письмо с кодом разблокировки и ссылкой на вирус.
Запуск вируса повторно заражает машину, после чего требует код. Присланный код подошел.
Единственное - вирус не делает ассоциаций с расширением файла, которые закодирует. В письме было указано "после этого открываете любой зашифрованный файл, появитя окно с текcтом". Оно не появляется. Надо запускать повторно файл вируса.
Разблокировка прошла успешно. Поиск файлов с расширением .LOCKDIR дал нулевой результат. Проверка на вирусы после разблокировки может найти тело вируса где-нибудь в TEMP-каталоге.
Резюме - конкретно эти вымогатели присылают корректный код и позволяют спасти данные.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: