1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Вирус lockdir.exe

Тема в разделе "Софт", создана пользователем red_spider, 04.06.12.

  1. red_spider

    red_spider Читатель

    3.940
    0
    Может уже кто подхватил новую заразу? Как лечились?
     

    Вложения:

  2. Crazy I.

    Crazy I. Читатель

    3.786
    0
    круто.... очередной развод клиентов)))) инетересно а если на лицензии подхватить в офисе .. сис.админу голову ген.дир проломит за такой банер??
     
  3. HuanKarlos

    HuanKarlos Активный участник

    1.072
    0
    лечатся они все одинаково: сначала грузишься с erd диска и смотришь в реестре, что стоит в автозагрузке, находишь палёную ветку, удаляешь её и сносишь файл на который она указывает, после загружаешься в винду и запускаешь антивирус
     
  4. Prozhector

    Prozhector Участник

    405
    0
    да уже трояны-шифровальщики в моде-вот это геморрой еще тот
    пример trojan.encoder.123
    некоторые файлы восстановились, а doc безвозвратно утеряны
    причем при запуске фигачит по всем дискам(в том числе сетевым)
     
  5. red_spider

    red_spider Читатель

    3.940
    0
    уж и не знаю какой антивирь ставить... NOD32 не спас
    Что посоветуете для Win Server 2003?
     
  6. Everwesss

    Everwesss Активный участник

    6.971
    4
    лечить, думаю, также, как и смс-вымогатель: грузимся в безопасном режиме с поддержкой командной строки, последовательно вводим в командной строке regedit и explorer, потом в редакторе реестра в ветке Current User/Software/microsoft/windows NT/current version/winlogon видим ключ shell, в значении которого будет указан как раз путь к тельцу вымогателя, запоминаем этот путь, стираем его, пишем там explorer.exe, затем идём по запомненному пути, убиваем тельце вымогателя, вот,думаю, и всё.
    написал по памяти, чота родственники часто стали ловить смс-блокираторы просто..
     
  7. Ralf

    Ralf Активный участник

    8.115
    71
    знакомая история, проходили. могу угадать как устроена ваша архитектура: сервер в прямой доступности из инета по порту 3389 (rdp), белый ip, терминальный доступ разрешен, легкий пароль на пользователя с административными правами (Администратор, adminm adm и т.д.).

    лечить тут нечего, файлы просто зашифрованы ключом и все. я этот вопрос очень глубоко изучил, нашел засвеченные ip (хохляцкие), выявил уникальность (люди засветились принтерами через rdp), выяснил как ломали и что делали с серваком потом (использовали его как поисковик таких же, даже веселые скрипты остались). к сожалению ключ шифрования слишком длинный - 16 символов (вот такой ruowof4t90w7e4g240f4), пытаться расшифровать перебором было нереально, очень долго. первые проявления были с ключом 8 символов, которые успешно открывались, давал сверток на анализ спецам по криптоанализу, расстроили меня общем. самое интересное, что базы данных 1с я смог вытащить в тот же день без всяких ключей, но вот документы все были зашифрованы. лучше ничего не трогать, ибо испортить данные проще простого.

    клиенты в начале года схватили такой вирус. их ломали несколько дней с 1 по 10 сначала по ночам, потом уже внаглую ночью, естественно никто ничего не заметил, потому что все отдыхали. и мыло тоже самое что на твоем баннере, общался с товарищем по указанному мылу, достаточно быстро вернул все данные за 3000 руб на счет в яндекс-деньги. советую не терять время и заплатить за неподготовленность к угрозам информационной безопасности.

    ---------- Сообщение добавлено 04.06.2012 22:54 ----------

    нод32 в очередной раз показал свою несостоятельность, добавил в копилку вашу историю.

    советы по защите простые:
    - никаких пробросов портов 3389 до сервера, лучше всего через vpn
    - сложнейшие пароли для административных учеток, регламент сложности и времени действия пароля, для пользователей тоже необходимы сложные пароли, злоумышленник может убить шару, что тоже будет неприятно
    - межсетевой экран для безопасного соединения с Интернет от внешних угроз
    - антивирус тоже нужен с файрволом для защиты от внутренних угроз
     
  8. red_spider

    red_spider Читатель

    3.940
    0
    Да этот гад ничего не блокирует. Он с помощью программы lockdir файлы прячет в запароленной директории и без пароля хрен их вытащить. Правда, пароль я нашел.

    ---------- Сообщение добавлено 04.06.2012 23:15 ----------

    заявление на товарища в полицию написать?
     
  9. Dazer

    Dazer Активный участник

    7.074
    0
    где ж вы этих животных берете???? :)
     
  10. Ralf

    Ralf Активный участник

    8.115
    71
    бесполезная трата времени с учетом всех бюрократических проволочек.
    к тому же сумма ущерба слишком мала. больше нервов было потрачено.
    а вот когда с расчетного счета 100-200 тысяч рублей выводят, вот тогда действительно обидно, но даже очень влиятельные люди не смогли вернуть сумму и найти злоумышленников (хотя поддержка имелась высшая), операция по всем правилам клиент-банковских расчетов была проведена, а на том конце деньги быстро сняли.

    ---------- Сообщение добавлено 04.06.2012 23:46 ----------

    поздравляю, это действительно удача!
     
  11. WooDy_Forester

    WooDy_Forester Активный участник

    2.765
    0
    он только 1с базы любит или ему и рядовые персоналки нравятся?
     
  12. red_spider

    red_spider Читатель

    3.940
    0
    вот это посоветуй поконкретнее что поставить не шибко замороченное, а то я давно не в теме

    ---------- Сообщение добавлено 05.06.2012 00:12 ----------

    у меня осталась нетронутой, т.к.была запущена
     
  13. Ralf

    Ralf Активный участник

    8.115
    71
    в моем примере зашифровали весь не системный диск. базы вытаскиваются без проблем, особой шифровке файлов подвергаются именно файлы с принадлежностью к документам (doc, xls, pdf...), вот тут уже 3 варианта остается: найти код (лотерея), заплатить деньги вымогателю, расшифровать (если есть под рукой суперкомпьютер то можно, а так месяцы упорного подбора).

    до возникнувшего случая мне говорили, да зачем нам это надо, кто нас будет ломать. теперь там стоит межсетевой экран cisco, жесткая политика безопасности на основе домена, антивирус касперского open space security с консолью администрирования.

    red_spider, в личку отписал.
     
  14. red_spider

    red_spider Читатель

    3.940
    0
    пока не получил, но буду ждать
     
  15. RubiN

    RubiN Активный участник

    5.532
    31
    еще я бы добавил-сузить круг айпишников, с которых разрешено администрирование - вариантов реализации можно придумать несколько, в зависимости от возможностей имеющегося софта, знаний и фантазии админа
     
  16. TOP GAN

    TOP GAN Активный участник

    885
    0
    можно использовать сервис от amazon
    я так пароли от вайфая увожу :)
     
  17. WooDy_Forester

    WooDy_Forester Активный участник

    2.765
    0
    угостите ссылкой:)
     
  18. nosferatos

    nosferatos Читатель

    31.652
    0
    +1, видал я шедевры отдела К, то еще шоу, они сильны только контрафакт воевать и порнуху в мобильных мастерских выявлять.
     
  19. ab7

    ab7 Активный участник

    3.205
    9
    токо седня такое вылечил
    просто запустил антивир в сэйф моде

    там было пострашнее, про деццкое порно и УК, и требовалось 900 рублей кинуть тупо на телефон :hah:

    особенно понравилась завершительная часть требования, "обязаны удалить имеющийся разтакой контент блаблаба"

    ---------- Сообщение добавлено 05.06.2012 19:45 ----------

    прикольно, если такое подхватит реальный педофил и чайник по совместительству ))

    ---------- Сообщение добавлено 05.06.2012 19:49 ----------

    да, а пароль там предлагалось поискать на чеке терминала оплаты ))))
     
  20. red_spider

    red_spider Читатель

    3.940
    0
    ab7, это совсем другая зараза
     
  21. ab7

    ab7 Активный участник

    3.205
    9
    red_spider, почему "совсем"? идея и интерфейс тот же абсолютно. ну чуть модернезировали психологический момент.
     
  22. Чел

    Чел Участник

    386
    0
    В твоем случае файлы не шифруются, это совсем другой вирус. У тебя просто в автозагрузку эта хрень прописывается, это лечится в течении 15мин. А вот зашифрованые файлы так быстро не расшифруеш.
     
  23. red_spider

    red_spider Читатель

    3.940
    0
    Кстати, lockdir не может шифровать и закрывать файлы из скрытых папок. Базы 1с он также не трогает, если они открыты.
    Недоработали, злодеи:d
     
  24. Ralf

    Ralf Активный участник

    8.115
    71
    надо написать этому Алексею на почту чтобы проработал функционал. а то действительно ни о чем. :d
     
  25. hasslich

    hasslich Активный участник

    16.644
    84
    а если папка защищена чем нить навроде folder lock, то lockdir сможет ее зашифровать?
     
  26. red_spider

    red_spider Читатель

    3.940
    0
    hasslich, защитите и напишите Алексею. Его мыло в 1 посте. Потом расскажете