Шифровальщик с расширением _morf56@meta.ua_

Тема в разделе "Вирусы-шифровальщики", создана пользователем thyrex, 8 дек 2016.

  1. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.551
    Симпатии:
    3.123
    Файл шифратора имеет имя flkr.exe и расположен в папке C:\cpqsystem\rel1711.
    Также в этой папке находятся файлы launcher.exe, delmeflk.bat, delmelaun.bat.

    Шифрует файлы блоками по 512 байт с использованием алгоритма Blowfish.

    Вместо шифрования удаляет файлы .bak and .tib.
    Пропускает при шифрования файлы .txt, .mp3, .avi.
    Все остальные файлы продлежат шифрованию, за исключением файлов в папках
    Оставляет для связи записку о выкупе INSTRUCT.txt
    Расшифровка имеется. Т.к. первоначальный размер файла при шифровании нигде не сохраняется, последний блок расшифрованного файла может быть частично забит мусором, который не будет критичным для большинства файлов, за исключением текстовых файлов .log, .ini и т.п.

    Лабораторией Касперского присвоен детект Trojan-Ransom.Win32.Agent.iux
     
    SNS-amigo, Dragokas и akok нравится это.
  2. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.717
    Симпатии:
    4.510
    Имеется в виду каталоги первого уровня? Иначе такой пропуск не имеет смысла.
     
  3. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.551
    Симпатии:
    3.123
    Думаю, да