Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]

Тема в разделе "Борьба с типовыми зловредами", создана пользователем thyrex, 29 апр 2014.

  1. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Начал распространение очередной шифровальщик

    Механизм распространения: вредоносное вложение в электронное письмо с темой о задолженности

    Шифруемые файлы:
    Механизм работы: что-то экзотическое, работающее на уровне службы, завязанной на svchost.exe.
    Скорее всего ключ шифрования получается с сервера злоумышленников.

    Исследование продолжается...

    Известные адреса для связи по поводу дешифратора:

    1. vpupkin3@aol.com
    2. vanivanov34@aol.com
    3. mserbinov@aol.com
     
    Последнее редактирование: 29 апр 2014
    akok, orderman, mike 1 и 2 другим нравится это.
  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Расшифровка файлов, зашифрованных Trojan-Ransom.Win32.Cryakl, добавлена в утилиту RannohDecryptor 1.4.0.0: http://support.kaspersky.ru/viruses/disinfection/8547
    Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).
     
    Dragokas, Kиpилл, shestale и 3 другим нравится это.
  3. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Начала распространение новая версия

    https://www.virustotal.com/ru/file/...54ea341d27ad91a53a962db8/analysis/1399739095/

    Ответ из вирлаба ЛК:
     
    Последнее редактирование: 10 май 2014
    Sandor, Alex1983, akok и 2 другим нравится это.
  4. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.471
    Симпатии:
    866
    Dragokas, orderman и shestale нравится это.
  5. petr-ru
    Оффлайн

    petr-ru Пользователь

    Сообщения:
    62
    Симпатии:
    31
    Почему-то нигде не говорится о том, что первоначальный файл из себя представляет nsis-сетапер, который извлекает из себя уже пару файлов, причем один из них почти всегда - ufr stealer.
     
  6. oks02071987
    Оффлайн

    oks02071987 Новый пользователь

    Сообщения:
    2
    Симпатии:
    0
    Добрый день! Подскажите, где найти незашифрованный файл?
     
  7. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.471
    Симпатии:
    866
    Немного странный вопрос. На компьютере конечно. Современные версии Trojan-Ransom.Win32.Cryakl утилита не сможет расшифровать.
     
  8. oks02071987
    Оффлайн

    oks02071987 Новый пользователь

    Сообщения:
    2
    Симпатии:
    0
    Это ясно). Файлы переименовались и называются теперь типа uxyzbddeghijklmn.puw.id-{VWYZBBCEFFGHJJKLMNOPQRSSTVWXXYZABCDE-05.12.2014 10@42@534471808}-email-mserbinov@aol.com-ver-6.1.0.0.b.cbf как узнать какая у меня версия трояна?
     
  9. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.471
    Симпатии:
    866
    RannohDecryptor вам не поможет. У вас 6 версия.
     
    Последнее редактирование модератором: 5 дек 2014

Поделиться этой страницей