Шифровальщик с почтой mrcrtools@aol.com

Тема в разделе "Борьба с типовыми зловредами", создана пользователем thyrex, 13 мар 2014.

  1. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Значительное распространение в начале марта 2014 года получил очередной шифровальшик, который просит обращаться за дешифратором и ключом на почту mrcrtools@aol.com

    Примеры тем:
    http://virusinfo.info/showthread.php?t=156475
    http://virusinfo.info/showthread.php?t=156329
    http://virusinfo.info/showthread.php?t=156297
    http://virusinfo.info/showthread.php?t=156319

    Источник заражения: полученное по электронной почте письмо с уведомлением о задолженности или чем-то в этом роде

    Механизм шифрования: После запуска вложенного в письмо файла происходит шифрование с использованием библиотеки DCPcrypt (со слегка покореженными названиями классов). На основе параметра, полученного от сервера злоумышленников, используется любой из следующих шифров:
    Код (Text):
    DES, RC2, RC4, RC5, RC6, 3DES, Blowfish, AES, GOST, IDEA, TEA, Cast128, Cast256, Ice, Twofish, Serpent, MARS, Misty1
    Ключ для шифрования также предоставляется сервером злоумышленников.

    Пример ключа:
    Зашифрованные файлы получают дополнительное расширение .mrcrtools@aol.com_[набор из случайных символов]

    По окончании шифрования на Рабочем столе создается текстовый файл КАК_PАЗБЛOКИРOВАТЬ_ВАШИ_ФAЙЛЫ.txt следующего содержания:

    Вывод: создание универсального декриптора не представляется возможным.

    Шифровальщик детектируется Лабораторией Касперскоого как Trojan-Ransom.Win32.Rakhni.al
     
    Последнее редактирование модератором: 13 мар 2014
    Dragokas, Sfera, iskander-k и 5 другим нравится это.
  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Из этой же серии

    back_files@aol.com [Rakhni.am], back_files2014@aol.com [Rakhni.ap], backyourfiles2014@aol.com [Rakhni.cc], backyourfiles@aol.com, vernut2014@qq.com [Rakhni.cl], yourfiles2014@yahoo.com [Rakhni.cq], restorefiles2014@yahoo.fr [Rakhni.cz]
     
    Последнее редактирование модератором: 2 авг 2014
    Dragokas, Sandor, orderman и ещё 1-му нравится это.
  3. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.471
    Симпатии:
    866
    Последнее редактирование модератором: 2 авг 2014
    Dragokas и shestale нравится это.
  4. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.471
    Симпатии:
    866
    Последнее редактирование модератором: 2 авг 2014
    orderman нравится это.
  5. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.471
    Симпатии:
    866
    В DrWeb похоже сделали невозможное. :)

    До недавнего времени расшифровка файлов, пострадавших от действия троянца Trojan.Encoder.398, считалась невозможной, однако начиная с мая 2014 года специалисты компании «Доктор Веб» проводили серьезную научно-исследовательскую работу по созданию эффективных алгоритмов расшифровки. Наконец, эти усилия принесли свои плоды: на сегодняшний день «Доктор Веб» является единственной компанией, специалисты которой с вероятностью в 90% способны восстановить файлы, зашифрованные злоумышленниками с использованием вредоносной программы Trojan.Encoder.398 с дополнительным расширением *.filescrypt2014@foxmail.com_*.

    Источник: http://news.drweb.com/show/?i=7098&lng=ru&c=5
     
    shestale, SNS-amigo, Kиpилл и 3 другим нравится это.

Поделиться этой страницей