Шифровальщик с почтой mrcrtools@aol.com

[thyrex]

Значительное распространение в начале марта 2014 года получил очередной шифровальшик, который просит обращаться за дешифратором и ключом на почту mrcrtools@aol.com

Примеры тем:
http://virusinfo.info/showthread.php?t=156475
http://virusinfo.info/showthread.php?t=156329
http://virusinfo.info/showthread.php?t=156297
http://virusinfo.info/showthread.php?t=156319

Источник заражения: полученное по электронной почте письмо с уведомлением о задолженности или чем-то в этом роде

Механизм шифрования: После запуска вложенного в письмо файла происходит шифрование с использованием библиотеки DCPcrypt (со слегка покореженными названиями классов). На основе параметра, полученного от сервера злоумышленников, используется любой из следующих шифров:

DES, RC2, RC4, RC5, RC6, 3DES, Blowfish, AES, GOST, IDEA, TEA, Cast128, Cast256, Ice, Twofish, Serpent, MARS, Misty1

Ключ для шифрования также предоставляется сервером злоумышленников.

Пример ключа:

<email>mrcrtools@aol.com</email><key>tdY278A6DomyrHxH9oSLSoU5vI8CKXg626VX3kRvA5TSCfoAv9cenY9Jv7c8Tj3JeNv8Zdso9b8Bgm2Dk5HzRG0cCcakl3VpGgmukFKiHHJOUBh7uOvbkueNxe1J8K1DSdZ4Jzbg8LVSc5OyIazUuEzSJnsG1iaHl1AXnC4leO5gJIFhJ645zrM9G6FveG4pvtdKX8X</key><type>15</type><ext>R9kpD</ext>

Зашифрованные файлы получают дополнительное расширение .mrcrtools@aol.com_[набор из случайных символов]

По окончании шифрования на Рабочем столе создается текстовый файл КАК_PАЗБЛOКИРOВАТЬ_ВАШИ_ФAЙЛЫ.txt следующего содержания:

Все ваши файлы были зашифрована криптостойким алгоритмом.

Расшифровать файлы можно только имея дешифратор и уникальный для вашего ПК пароль для расшифровки.
Приобрести дешифратор вы можете в течение 7 дней после прочтения этого сообщения. В дальнейшем пароль удаляется из базы и расшифровать ваши файлы будет невозможно.
Для покупки дешфратора напишите на наш email - mrcrtools@aol.com
Если хотите убедится, что у нас действительно есть дешифратор для расшифровки ваших файлов, приложите к письму любой зашифрованный файл (кроме баз данных) и мы вышлем его расшифрованную версию.
Стоимость дешифратора 5000 рублей. Варианты оплаты вышлем также в ответе на ваше письмо.
=============================

Вывод: создание универсального декриптора не представляется возможным.

Шифровальщик детектируется Лабораторией Касперскоого как Trojan-Ransom.Win32.Rakhni.al

 

[thyrex]

Из этой же серии

back_files@aol.com [Rakhni.am], back_files2014@aol.com [Rakhni.ap], backyourfiles2014@aol.com [Rakhni.cc], backyourfiles@aol.com, vernut2014@qq.com [Rakhni.cl], yourfiles2014@yahoo.com [Rakhni.cq], restorefiles2014@yahoo.fr [Rakhni.cz]

 

[mike 1]

Из той же серии:

filescrypt2014@foxmail.com [Rakhni.de]

Результат анализа сервисом VirusTotal:

https://www.virustotal.com/ru/file/...75e57010808ea5f6cdba919c/analysis/1405945270/

Примеры тем:

http://forum.kaspersky.com/index.php?showtopic=301616

Шифровальщик будет скоро детектироваться Лабораторией Касперского как Trojan-Ransom.Win32.Rakhni.de

 

[mike 1]

Из той же серии:

restoreyourfiles@qq.com [Rakhni.dg]

Результат анализа сервисом VirusTotal:

https://www.virustotal.com/ru/file/...5d6e9974bcbeadd442b8c39c497ab5772bb/analysis/

Примеры тем:

http://virusinfo.info/showthread.php?t=164069

Шифровальщик будет скоро детектироваться Лабораторией Касперского как Trojan-Ransom.Win32.Rakhni.dg

 

[mike 1]

В DrWeb похоже сделали невозможное.

До недавнего времени расшифровка файлов, пострадавших от действия троянца Trojan.Encoder.398, считалась невозможной, однако начиная с мая 2014 года специалисты компании «Доктор Веб» проводили серьезную научно-исследовательскую работу по созданию эффективных алгоритмов расшифровки. Наконец, эти усилия принесли свои плоды: на сегодняшний день «Доктор Веб» является единственной компанией, специалисты которой с вероятностью в 90% способны восстановить файлы, зашифрованные злоумышленниками с использованием вредоносной программы Trojan.Encoder.398 с дополнительным расширением *.filescrypt2014@foxmail.com_*.

Источник: http://news.drweb.com/show/?i=7098&lng=ru&c=5