Шифровальщик с расширением _morf56@meta.ua_

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
Файл шифратора имеет имя flkr.exe и расположен в папке C:\cpqsystem\rel1711.
Также в этой папке находятся файлы launcher.exe, delmeflk.bat, delmelaun.bat.

Шифрует файлы блоками по 512 байт с использованием алгоритма Blowfish.

Вместо шифрования удаляет файлы .bak and .tib.
Пропускает при шифрования файлы .txt, .mp3, .avi.
Все остальные файлы продлежат шифрованию, за исключением файлов в папках
Windows
Program Files
Program Files (x86)
System Volume Information
Documents and Settings
Users
Install
Music
Intel
adfs
cpqsystem

Оставляет для связи записку о выкупе INSTRUCT.txt
Information is encrypted with a strong password. To decrypt it e-mail: morf56@meta.ua for instructions. Reserve communication channel - this jabber: fhmjfjf@default.rs Use jabber only when conversation via email is not possible

Расшифровка имеется. Т.к. первоначальный размер файла при шифровании нигде не сохраняется, последний блок расшифрованного файла может быть частично забит мусором, который не будет критичным для большинства файлов, за исключением текстовых файлов .log, .ini и т.п.

Лабораторией Касперского присвоен детект Trojan-Ransom.Win32.Agent.iux
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,612
Реакции
6,051
Баллы
808
thyrex написал(а):
Documents and Settings
Users
Имеется в виду каталоги первого уровня? Иначе такой пропуск не имеет смысла.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
Думаю, да
 
Сверху Снизу