Безопасность → Устранение последствий Lockdir.exe

Вчерашний мой пост про етого гада и комменты к нему несколько обескуражили, но ваш верный слуга приняв для экзорцизма аццкого зелья (читай водки для храбрости), пошел дышать перегаром на комп. Итак что я увидел.
1. Характерно-описанное поведение в интернете, но за исключением самого шифровальщика Lockdir.exe
2. Оказывается эти мега-мозги (пользователи) снесли его использовав авиру.
3. Задача вытянуть файлы (хопеги, доки, и прочую хрень).

Посидев, поспрашивав, подумав и вспомнив что писали про етого злобного гада, пришел к выводу.

1. заражение действительно пришло через письмо от Сперм-банка(Ну сбер-банка), как собственно и описано в инете.
2. Раз вирус снесли, то проверки на вшивость не будет (сама программа декриптовки отсутсвует) и ето полныя жеппа скажу вам товарищи (уникальные ключ шифрования можно сказать проебан потерян).
3. Вспоминая про файловую систему решаю проверить действительно ли MTF похерено или тупо перенаправлено.
4. других варианов нет, поэтому начснем.

Способ (рабочий на 100% инменно для этой модификации) восстановления просранной инфы
1. Нам треба лайв-сд и мозг с прямыми руками, ну или хотябы чтоб они из плеч росли
2. Грузимся с лив-сидя (в моем случае Alkid Live спасиб Айрику что в 2008 году он мне его скинул, теперь регулярно обновляю образ, реальне мега-весчь)
3. Ломимся на диск D и видим, что нихера там нет вскрымаем папко Thumbs.ms и смотирим чтол тут она открывается до файлов, т.е. каталоговый поиск есть.
4. Дальше дело техники. Раз Тотал не дошел до файлов, но прошел сквозь папку шифрованных данных по всему дереву каталога, тогда уря достанем.
5. Recover My Files (версия 4,5 от 2010 у меня была)-поиск после потери или удаления файлов-и сохраняем нам нужные на съемный диск, диск лучше подцепить до загрузки лайва.

Принцип работы этого непонятного гада.

1. Создает кучу кусков кода, которые антизверь хавает и оред ГАЛАКТИКЕ В ОПАСНОСТЕ Насяльнике, пока ты гоняешься за кусками троев, этот гад, нагло и без тени смущения, запускает криптограф, кодирует его, и ставит в задачи запуск активации на след день.
2. Пока ты выловил всех зверьков со своими верными антивирусами и гладишь его по голове, скармливая очередной файло лицензии, злобный враг уже все подготовил к вторжению на твою бедную машину. и вод после 00-00, эта сцуко запускается и шифрует, ну а дальше как описано и обкакано в интернетах.

з.ы. Цена вопроса 3 кр, короче чем больше файлов тем дороже, я не наглел знакомые просто.
з.з.ы. Кто на основании этого получит бабла, прошу помочь голодающему поволжья то есть мне, за колым 10% за патент 50%
  • avatar
  • Lucky
  • 16730
  • +23
  • 28 декабря 2011, 04:41

Комментариум (18)

RSS свернуть / развернуть
+
+3
avatar

pashtuun

  • 28 декабря 2011, 08:44

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
Хорошая работа!
+
+3
avatar

Lucky

  • 28 декабря 2011, 08:53

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
спасибо
+
+2
avatar

Anonymous

  • 28 декабря 2011, 13:59

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
Сколько по времени заняло и какой объем был?
+
+3
avatar

Lucky

  • 29 декабря 2011, 04:02

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
3 часа на поиск и сохранение + 15 минут на думанье и 15 минут когда грузится мой любимый кетчуп Лайв-Сиди
объем 106 гигов
+
+3
avatar

jamesjames

  • 29 декабря 2011, 00:50

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
За изложение мыслей… с юмором + 100500 )))
+
+3
avatar

Lucky

  • 29 декабря 2011, 04:03

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
спасибо. Кстати читал каспер откуда-то там вышел. может совесь взяла что лечить такое не умеют
+
+3
avatar

jamesjames

  • 29 декабря 2011, 12:53

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
думал, что к 2011 году люди будут более грамотные в компьютерных науках, или хотябы понимать что выкачивать файлы типа: superfilm2011.avi.exe размером 100Kb, без особой нужды не нужно :)
+
0
avatar

Anonymous

  • 29 декабря 2011, 09:48

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
Хм. Попробуем. Этот локдир запарился
+
+2
avatar

makenskiy

  • 30 декабря 2011, 23:11

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
Интересно, такого еще пока не видел, печальная штука. Ни так давно сталкивался с нечто подобным, название не помню, помню только «Х» в начале, так вот оно на всех папках и файлах меняло пути и превращало в линки ведущие в никуда, при чем не трогало «системные», т.е. сами то файлы были но с кривыми путями.

Ни один антизверь что был на руках не обнаружил дрянь, это cureit, avz, nod, каспер, аваст еще что-то. После ручного удаления, сноса точек восстановления, восстанавливался при перезагрузке и опять прописывал хрень. Короче переписал загрузчик, снес зверя и заставил юзера самого переименовывать файло, чтобы неповадно было, это не помогло и в итоге через пару дней та же история началась, видать где-то за место парнушечки у него сидит а-ля goodpron.exe.avi или в силу своих скудных познаний что-то упустил. За то что они могли дать не было никакого желания разбираться, да и редко этим занимаюсь, считаю винду надо лечить переустановкой, это быстро, просто и по деньгам хорошо.
+
+3
avatar

Anonymous

  • 10 января 2012, 08:11

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
Добрый день!
Касперский стоит на сервере. Вируса не видит.
Файлы лежали в
C:\Program Files\
TotalCommander в топку, ставим Far-Manager и находим наше файло, у меня так было:
C:\Program Files\Thumbs.ms\com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652}\ã.\LastF\
Копируем спокойно куда-нибудь наше файло.
+
+4
avatar

Anonymous

  • 10 января 2012, 11:25

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
Угу, копируем файло и что потом? Если файло зашифрованное? Любуемся файлами с расширением *.rn ???

По поводу метода - Win PE + последняя версия Recover My Files, восстановило около 10% инфы. Да и ту, которая не особо нужна.
Автор может подскажешь какие то подробности? Буду оч. признателен.
+
+3
avatar

Lucky

  • 13 января 2012, 11:18

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
Рома, все просто, зависит от алгоритма поиска и что ты делал с данными перед тем как восстановить пытал. У меня взяла именно эта версия. режим после потери.
+
+2
avatar

Anonymous

  • 14 января 2012, 12:34

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
Я первым делом клон с системы снял, а потом его уже и в хвост и в гриву.
Чего уже только не перепробовал.
Сейчас вот переписываюсь с Kakasoft (ну и название, блин).
Посмотрим, что это даст.
+
0
avatar

Anonymous

  • 30 марта 2012, 09:46

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
Переписка с простите КАКАСОФТОМ привела к чему-нибудь? Предполагаю заставили стать зарегистрированным пользователем и восстанавливать через ихний рекаверицентр?
+
+3
avatar

Anonymous

  • 10 января 2012, 12:45

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
Это может помочь, но в редких случаях. Собственно lockdir совершенно нормальная коммерческая программа для шифрования собственных файлов. Так что шансов на подбор пароля тоже мало. Придется общаться с вымогателем и думать над защитой и резервным копированием.
+
0
avatar

Anonymous

  • 27 июля 2013, 10:38

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
ключ Com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652} обнаружен на китайском навигаторе с WinCE 6 на проце MediaTec MT3351
+
0
avatar

Anonymous

  • 27 июля 2013, 10:41

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
P.S. ... в качестве системного пути установки карт
+
0
avatar

Anonymous

  • 27 июля 2013, 10:44

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
P.S.2 ... или пути к файлам программы навигации
+
0
avatar

Anonymous

  • 17 февраля 2014, 09:19

  • Warning: Smarty error: unable to read resource: "cmtedit_button.tpl" in /home/makenskiy/www/itbuben.org/public_html/engine/lib/external/Smarty-2.6.19/libs/Smarty.class.php on line 1092
В большинстве случаев у вымогателей не хватает мозгов. И они пользуются незарегистрированой прогой от kakasoft. Так вот, Проводник от Microsoft обычно не видит файлики и папки с названием "trumb". Так вот, ставим какой нибудь файловый менеджер типа Total или Far, заходим в эту директорию и спокойно копируем.

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.