Шифровальщик с расширением _morf56@meta.ua_

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
Файл шифратора имеет имя flkr.exe и расположен в папке C:\cpqsystem\rel1711.
Также в этой папке находятся файлы launcher.exe, delmeflk.bat, delmelaun.bat.

Шифрует файлы блоками по 512 байт с использованием алгоритма Blowfish.

Вместо шифрования удаляет файлы .bak and .tib.
Пропускает при шифрования файлы .txt, .mp3, .avi.
Все остальные файлы продлежат шифрованию, за исключением файлов в папках
Windows
Program Files
Program Files (x86)
System Volume Information
Documents and Settings
Users
Install
Music
Intel
adfs
cpqsystem
Оставляет для связи записку о выкупе INSTRUCT.txt
Information is encrypted with a strong password. To decrypt it e-mail: morf56@meta.ua for instructions. Reserve communication channel - this jabber: fhmjfjf@default.rs Use jabber only when conversation via email is not possible
Расшифровка имеется. Т.к. первоначальный размер файла при шифровании нигде не сохраняется, последний блок расшифрованного файла может быть частично забит мусором, который не будет критичным для большинства файлов, за исключением текстовых файлов .log, .ini и т.п.

Лабораторией Касперского присвоен детект Trojan-Ransom.Win32.Agent.iux
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,908
Баллы
648
thyrex написал(а):
Documents and Settings
Users
Имеется в виду каталоги первого уровня? Иначе такой пропуск не имеет смысла.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
Думаю, да
 
Сверху Снизу