Шифровальщик с почтой mrcrtools@aol.com

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
Значительное распространение в начале марта 2014 года получил очередной шифровальшик, который просит обращаться за дешифратором и ключом на почту mrcrtools@aol.com

Примеры тем:
http://virusinfo.info/showthread.php?t=156475
http://virusinfo.info/showthread.php?t=156329
http://virusinfo.info/showthread.php?t=156297
http://virusinfo.info/showthread.php?t=156319

Источник заражения: полученное по электронной почте письмо с уведомлением о задолженности или чем-то в этом роде

Механизм шифрования: После запуска вложенного в письмо файла происходит шифрование с использованием библиотеки DCPcrypt (со слегка покореженными названиями классов). На основе параметра, полученного от сервера злоумышленников, используется любой из следующих шифров:
Код:
DES, RC2, RC4, RC5, RC6, 3DES, Blowfish, AES, GOST, IDEA, TEA, Cast128, Cast256, Ice, Twofish, Serpent, MARS, Misty1
Ключ для шифрования также предоставляется сервером злоумышленников.

Пример ключа:
<email>mrcrtools@aol.com</email><key>tdY278A6DomyrHxH9oSLSoU5vI8CKXg626VX3kRvA5TSCfoAv9cenY9Jv7c8Tj3JeNv8Zdso9b8Bgm2Dk5HzRG0cCcakl3VpGgmukFKiHHJOUBh7uOvbkueNxe1J8K1DSdZ4Jzbg8LVSc5OyIazUuEzSJnsG1iaHl1AXnC4leO5gJIFhJ645zrM9G6FveG4pvtdKX8X</key><type>15</type><ext>R9kpD</ext>
Зашифрованные файлы получают дополнительное расширение .mrcrtools@aol.com_[набор из случайных символов]

По окончании шифрования на Рабочем столе создается текстовый файл КАК_PАЗБЛOКИРOВАТЬ_ВАШИ_ФAЙЛЫ.txt следующего содержания:

Все ваши файлы были зашифрована криптостойким алгоритмом.

Расшифровать файлы можно только имея дешифратор и уникальный для вашего ПК пароль для расшифровки.
Приобрести дешифратор вы можете в течение 7 дней после прочтения этого сообщения. В дальнейшем пароль удаляется из базы и расшифровать ваши файлы будет невозможно.
Для покупки дешфратора напишите на наш email - mrcrtools@aol.com
Если хотите убедится, что у нас действительно есть дешифратор для расшифровки ваших файлов, приложите к письму любой зашифрованный файл (кроме баз данных) и мы вышлем его расшифрованную версию.
Стоимость дешифратора 5000 рублей. Варианты оплаты вышлем также в ответе на ваше письмо.
=============================

Вывод: создание универсального декриптора не представляется возможным.

Шифровальщик детектируется Лабораторией Касперскоого как Trojan-Ransom.Win32.Rakhni.al
 
Последнее редактирование модератором:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
Из этой же серии

back_files@aol.com [Rakhni.am], back_files2014@aol.com [Rakhni.ap], backyourfiles2014@aol.com [Rakhni.cc], backyourfiles@aol.com, vernut2014@qq.com [Rakhni.cl], yourfiles2014@yahoo.com [Rakhni.cq], restorefiles2014@yahoo.fr [Rakhni.cz]
 
Последнее редактирование модератором:

mike 1

Ветеран
Сообщения
2,435
Реакции
937
Баллы
543
Последнее редактирование модератором:

mike 1

Ветеран
Сообщения
2,435
Реакции
937
Баллы
543
Последнее редактирование модератором:

mike 1

Ветеран
Сообщения
2,435
Реакции
937
Баллы
543
В DrWeb похоже сделали невозможное. :)

До недавнего времени расшифровка файлов, пострадавших от действия троянца Trojan.Encoder.398, считалась невозможной, однако начиная с мая 2014 года специалисты компании «Доктор Веб» проводили серьезную научно-исследовательскую работу по созданию эффективных алгоритмов расшифровки. Наконец, эти усилия принесли свои плоды: на сегодняшний день «Доктор Веб» является единственной компанией, специалисты которой с вероятностью в 90% способны восстановить файлы, зашифрованные злоумышленниками с использованием вредоносной программы Trojan.Encoder.398 с дополнительным расширением *.filescrypt2014@foxmail.com_*.

Источник: http://news.drweb.com/show/?i=7098&lng=ru&c=5
 
Сверху Снизу