Проблема в следующем:
Очень хорошая знакомая обратилась с проблемой - вылетело окошко с сообщением об использовании нелицензионной версии виндовс и т.д и т.п. Очень много файлов(на всех локальных дисках, причем по определенным маскам выбирались файлы, например TXT, RAR, LNK, DB, JPG) получили новое дополнительное расширение .LOCK
Вроде бы все ничего, я удалил подозрительный файл из автозагрузки. И попытался вернуть файлам нормальное расширение. Но не тут то было... Файлы реально изменены. Для сравнения в архиве есть две папки XnView(заражен) и XnView. Соответственно зараженный и аналогичный чистый. Нашел, что изменения в файлах произведены с 63-его байта(нашел начало расхождения при просмотре текстовых файлов в шестнадцатиричном коде).
НаноАВ из всего архива определил два файла, как вирусы. Обновление антивируса произвел непосредственно перед проверкой данных файлов. В папке autorun собственно тот файл, который, подозреваю, и есть новый вымогатель. Есть еще несколько подозрительных файлов в архиве, возможно они имеют место быть связанными с этим локкером.
Если есть возможность сделать утилиту для дешифровки файлов, буду безмерно признателен. Ну или хотя бы описать алгоритм... Просто у человека очень много документов, необходимых по работе, пострадало...
PS сам архив лежит на моем ФТП, ссылку на него выслал в письме с описанием и ссылкой на эту темы на ящик virus@nanoav.ru
Если кто из пользователей сможет хоть чем нибудь помочь в вопросе дешифровки файлов, в личку скину ссылку на скачивание архива.

Кстати, вот результаты проверок другими антивирусами онлайн:


Странно, что при данных обстоятельствах НаноАВ отстает...
PS у касперского нашел две утилиты для восстановления подобных зашифрованных файлов, но они в данном конкретном случае оказались бессильны...

Здравствуйте, Viha.
Ответили вам личным сообщением.

Так же ответил через личное сообщение - предложенный вариант не смог опознать зараженные файлы, а тем более восстановить...

Можно подвести итог данной проблемы.

Новая напасть гуляет по интернету. Мошенники блокируют файлы и за разблокировку требуют денег. Звучали суммы от 3500 до 5000 рублей. Некоторым мошенники, после оплаты, высылали пароль и файлы успешно разблокировались, некоторым не высылали...

Опишу немного технологию.
Шифрование файлов производится при помощи программы FolderLock. В целом программа вроде бы полезная и интересная. Но вот способ ее применения... Шифрование файлов происходит 1024 битным ключем. Пароль - набор символов от 10 до 25 знаков. Подобрать практически нереально. Шифрованию подвергаются все файлы, которые могут принадлежать пользователю, например JPG, BMP, DB, DOC, XLS, TXT, LNK, MP3, AVI... Список шифруемых расширений очень большой. Незашифрованными остаются довольно мало файлов, но так, чтобы система могла загружаться, и даже почти нормально работать. Ни один антивирусный вендор не готов взять на себя ответственность и занести данную программу в список, хотя бы потенциально опасных. О том, чтобы дать этой программе статус "Вирус", вообще разговора нет. Не знаю какая используется технология шифрования/дешифрования, но скорость просто впечатляет, пишут, что система из 5 жестких дисков была расшифрована, после введения пароля, за считанные секунды.

Первые признаки:
у фалов появлется дополнительное расширение (могут быть вариации LOCK, CRYPT, BLOCK);
во всех папках, где есть заблокированные файлы, и в автозагрузке появляется текстовый файл вида "Как расшифровать файлы.txt". Содержимое файла примерно такое "Для разблокировки файлов вам нужно написать письмо на адрес mudak@yahoo.com в письме необходимо указать идентификатор 1452789. Будьте осторожны у вас есть всего 5 попыток ввода пароля." Можно и написать. В ответ прийдет размер суммы и реквизиты для оплаты. Я не писал, поэтому не могу сказать по этому поводу ничего конкретного.

Ваши действия в случае "попадания":
1) Ни в коем случае не пытайтесь лечить систему или откатываться на более ранние точки отката. Это все равно не поможет, а вот навредить может основательно.
2) Напишите мне ПМ с описанием проблемы. В ответ я дам ссылку на страничку, где Вы скачаете утилиту, с помощью которой можно попытаться избавиться от шифрования. Почему не даю ссылку сразу? Это утилита от разработчиков другого антивируса, согласно правил форума запрещено предоставлять ссылки на сайты сторонних разработчиков антивирусов. Почему "попытаться"? Потому что утилита работает по шаблону. И если Вашего шаблона в ней нет, то ничего не получится. Собственно в ответном сообщении я опишу немного свое общение с разработчиками этой утилиты. Вчера мне эта утилита не смогла расшифровать файлы, сегодня она спокойно их расшифровала. Но здесь может быть два варианта - либо утилита расшифровывает файлы только на зараженном компьютере(вчера я пробовал расшифровать файлы на флешке) либо за ночь разработчики все таки доработали утилиту на основании присланных мной данных. Вчера скачивал утилиту на работе и пытался расшифровать там. Сегодня скачивал дома и расшифровывал на зараженном компьютере. Вполне допускаю вероятность того, что утилита была обновлена.
3) Если файлы критичны (базы предприятия, список счетов, список контрагентов и т.д.) и не получилось их расшифровать с помощью утилиты, то можно попытаться все таки заплатить мошенникам в надежде получить пароль.

Ну и напоследок - рекомендую все таки критичные файлы сохранять на болванки (чтобы они лежали отдельно и их нельзя было модифицировать, есть уже случаи, когда данный вид мошенничества шифровал файлы даже на сетевых дисках, так что хранение бэкапов на других жестких дисках или сетевых ресурсах не спасает). Пусть будут лишние затраты на содержание бэкапов, но твердая уверенность, что есть архив, хотя бы за предыдущие периоды, чем заплатить деньги вымогателю, не получить пароль и потерять все данные.

Лично я критичную для меня информацию пишу всегда на болванки . А блокировка файлов происходит каким образом? Пользователь должен сам запустить программу FolderLock или она запускается в составе другой программы?

точную картину блокировки я не смог установить. Скорее всего запускается какой нибудь скрипт, скрытно, который и производит все необходимые манипуляции. После своих вредных действий удаляет и себя и программу. Возможно в процессе учавствует какая нибудь dll-ка. Я на зараженном компьютере не смог найти следы зловреда, даже при попытке восстановить удаленные файлы.

Что вам мешает зайти к му..ку vazonez скачать себе бюлдер вместе с исходниками и ознакомиться с энкодером ?
Там же можете скачать себе генератор мбрлоков и генератор 3333 винлока

mrbelyash можно ссылочку в личку?
Я правильно понял? Там есть исходники подобной заразы?