Вирус lockdir.exe

круто.... очередной развод клиентов)))) инетересно а если на лицензии подхватить в офисе .. сис.админу голову ген.дир проломит за такой банер??

 

лечатся они все одинаково: сначала грузишься с erd диска и смотришь в реестре, что стоит в автозагрузке, находишь палёную ветку, удаляешь её и сносишь файл на который она указывает, после загружаешься в винду и запускаешь антивирус

 

да уже трояны-шифровальщики в моде-вот это геморрой еще тот
пример trojan.encoder.123
некоторые файлы восстановились, а doc безвозвратно утеряны
причем при запуске фигачит по всем дискам(в том числе сетевым)

 

лечить, думаю, также, как и смс-вымогатель: грузимся в безопасном режиме с поддержкой командной строки, последовательно вводим в командной строке regedit и explorer, потом в редакторе реестра в ветке Current User/Software/microsoft/windows NT/current version/winlogon видим ключ shell, в значении которого будет указан как раз путь к тельцу вымогателя, запоминаем этот путь, стираем его, пишем там explorer.exe, затем идём по запомненному пути, убиваем тельце вымогателя, вот,думаю, и всё.
написал по памяти, чота родственники часто стали ловить смс-блокираторы просто..

 

знакомая история, проходили. могу угадать как устроена ваша архитектура: сервер в прямой доступности из инета по порту 3389 (rdp), белый ip, терминальный доступ разрешен, легкий пароль на пользователя с административными правами (Администратор, adminm adm и т.д.).

лечить тут нечего, файлы просто зашифрованы ключом и все. я этот вопрос очень глубоко изучил, нашел засвеченные ip (хохляцкие), выявил уникальность (люди засветились принтерами через rdp), выяснил как ломали и что делали с серваком потом (использовали его как поисковик таких же, даже веселые скрипты остались). к сожалению ключ шифрования слишком длинный - 16 символов (вот такой ruowof4t90w7e4g240f4), пытаться расшифровать перебором было нереально, очень долго. первые проявления были с ключом 8 символов, которые успешно открывались, давал сверток на анализ спецам по криптоанализу, расстроили меня общем. самое интересное, что базы данных 1с я смог вытащить в тот же день без всяких ключей, но вот документы все были зашифрованы. лучше ничего не трогать, ибо испортить данные проще простого.

клиенты в начале года схватили такой вирус. их ломали несколько дней с 1 по 10 сначала по ночам, потом уже внаглую ночью, естественно никто ничего не заметил, потому что все отдыхали. и мыло тоже самое что на твоем баннере, общался с товарищем по указанному мылу, достаточно быстро вернул все данные за 3000 руб на счет в яндекс-деньги. советую не терять время и заплатить за неподготовленность к угрозам информационной безопасности.

---------- Сообщение добавлено 04.06.2012 22:54 ----------

нод32 в очередной раз показал свою несостоятельность, добавил в копилку вашу историю.

советы по защите простые:
- никаких пробросов портов 3389 до сервера, лучше всего через vpn
- сложнейшие пароли для административных учеток, регламент сложности и времени действия пароля, для пользователей тоже необходимы сложные пароли, злоумышленник может убить шару, что тоже будет неприятно
- межсетевой экран для безопасного соединения с Интернет от внешних угроз
- антивирус тоже нужен с файрволом для защиты от внутренних угроз

 

где ж вы этих животных берете????

 

бесполезная трата времени с учетом всех бюрократических проволочек.
к тому же сумма ущерба слишком мала. больше нервов было потрачено.
а вот когда с расчетного счета 100-200 тысяч рублей выводят, вот тогда действительно обидно, но даже очень влиятельные люди не смогли вернуть сумму и найти злоумышленников (хотя поддержка имелась высшая), операция по всем правилам клиент-банковских расчетов была проведена, а на том конце деньги быстро сняли.

---------- Сообщение добавлено 04.06.2012 23:46 ----------

поздравляю, это действительно удача!

 

он только 1с базы любит или ему и рядовые персоналки нравятся?

 

в моем примере зашифровали весь не системный диск. базы вытаскиваются без проблем, особой шифровке файлов подвергаются именно файлы с принадлежностью к документам (doc, xls, pdf...), вот тут уже 3 варианта остается: найти код (лотерея), заплатить деньги вымогателю, расшифровать (если есть под рукой суперкомпьютер то можно, а так месяцы упорного подбора).

до возникнувшего случая мне говорили, да зачем нам это надо, кто нас будет ломать. теперь там стоит межсетевой экран cisco, жесткая политика безопасности на основе домена, антивирус касперского open space security с консолью администрирования.

red_spider, в личку отписал.

 

еще я бы добавил-сузить круг айпишников, с которых разрешено администрирование - вариантов реализации можно придумать несколько, в зависимости от возможностей имеющегося софта, знаний и фантазии админа

 

можно использовать сервис от amazon
я так пароли от вайфая увожу

 

угостите ссылкой

 

+1, видал я шедевры отдела К, то еще шоу, они сильны только контрафакт воевать и порнуху в мобильных мастерских выявлять.

 

токо седня такое вылечил
просто запустил антивир в сэйф моде

там было пострашнее, про деццкое порно и УК, и требовалось 900 рублей кинуть тупо на телефон

особенно понравилась завершительная часть требования, "обязаны удалить имеющийся разтакой контент блаблаба"

---------- Сообщение добавлено 05.06.2012 19:45 ----------

прикольно, если такое подхватит реальный педофил и чайник по совместительству ))

---------- Сообщение добавлено 05.06.2012 19:49 ----------

да, а пароль там предлагалось поискать на чеке терминала оплаты ))))

 

red_spider, почему "совсем"? идея и интерфейс тот же абсолютно. ну чуть модернезировали психологический момент.

 

В твоем случае файлы не шифруются, это совсем другой вирус. У тебя просто в автозагрузку эта хрень прописывается, это лечится в течении 15мин. А вот зашифрованые файлы так быстро не расшифруеш.

 

надо написать этому Алексею на почту чтобы проработал функционал. а то действительно ни о чем.

 

а если папка защищена чем нить навроде folder lock, то lockdir сможет ее зашифровать?