• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Шифровальщик с расширением _morf56@meta.ua_

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,786
Реакции
2,394
Файл шифратора имеет имя flkr.exe и расположен в папке C:\cpqsystem\rel1711.
Также в этой папке находятся файлы launcher.exe, delmeflk.bat, delmelaun.bat.

Шифрует файлы блоками по 512 байт с использованием алгоритма Blowfish.

Вместо шифрования удаляет файлы .bak and .tib.
Пропускает при шифрования файлы .txt, .mp3, .avi.
Все остальные файлы продлежат шифрованию, за исключением файлов в папках
Windows
Program Files
Program Files (x86)
System Volume Information
Documents and Settings
Users
Install
Music
Intel
adfs
cpqsystem

Оставляет для связи записку о выкупе INSTRUCT.txt
Information is encrypted with a strong password. To decrypt it e-mail: morf56@meta.ua for instructions. Reserve communication channel - this jabber: fhmjfjf@default.rs Use jabber only when conversation via email is not possible

Расшифровка имеется. Т.к. первоначальный размер файла при шифровании нигде не сохраняется, последний блок расшифрованного файла может быть частично забит мусором, который не будет критичным для большинства файлов, за исключением текстовых файлов .log, .ini и т.п.

Лабораторией Касперского присвоен детект Trojan-Ransom.Win32.Agent.iux
 
Назад
Сверху Снизу