Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,380
Реакции
2,444
Баллы
593
Начал распространение очередной шифровальщик

Механизм распространения: вредоносное вложение в электронное письмо с темой о задолженности

Шифруемые файлы:
.jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx
Механизм работы: что-то экзотическое, работающее на уровне службы, завязанной на svchost.exe.
Скорее всего ключ шифрования получается с сервера злоумышленников.

Исследование продолжается...

Известные адреса для связи по поводу дешифратора:

1. vpupkin3@aol.com
2. vanivanov34@aol.com
3. mserbinov@aol.com
 
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,380
Реакции
2,444
Баллы
593
Расшифровка файлов, зашифрованных Trojan-Ransom.Win32.Cryakl, добавлена в утилиту RannohDecryptor 1.4.0.0: http://support.kaspersky.ru/viruses/disinfection/8547
Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,380
Реакции
2,444
Баллы
593
Начала распространение новая версия

https://www.virustotal.com/ru/file/eaad9883e71989f8a7a9e6f4d6b40e2dfeffe33254ea341d27ad91a53a962db8/analysis/1399739095/

Ответ из вирлаба ЛК:
В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Ransom.Win32.Cryakl.d.
Его детектирование будет включено в очередное обновление антивирусных баз.
 
Последнее редактирование:

petr-ru

Активный пользователь
Сообщения
62
Реакции
31
Баллы
98
Почему-то нигде не говорится о том, что первоначальный файл из себя представляет nsis-сетапер, который извлекает из себя уже пару файлов, причем один из них почти всегда - ufr stealer.
 

oks02071987

Активный пользователь
Сообщения
2
Реакции
0
Баллы
81
Расшифровка файлов, зашифрованных Trojan-Ransom.Win32.Cryakl, добавлена в утилиту RannohDecryptor 1.4.0.0: http://support.kaspersky.ru/viruses/disinfection/8547
Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).
Добрый день! Подскажите, где найти незашифрованный файл?
 

mike 1

Активный пользователь
Сообщения
2,404
Реакции
929
Баллы
383
Добрый день! Подскажите, где найти незашифрованный файл?
Немного странный вопрос. На компьютере конечно. Современные версии Trojan-Ransom.Win32.Cryakl утилита не сможет расшифровать.
 

oks02071987

Активный пользователь
Сообщения
2
Реакции
0
Баллы
81
Немного странный вопрос. На компьютере конечно. Современные версии Trojan-Ransom.Win32.Cryakl утилита не сможет расшифровать.
Это ясно). Файлы переименовались и называются теперь типа uxyzbddeghijklmn.puw.id-{VWYZBBCEFFGHJJKLMNOPQRSSTVWXXYZABCDE-05.12.2014 10@42@534471808}-email-mserbinov@aol.com-ver-6.1.0.0.b.cbf как узнать какая у меня версия трояна?
 

mike 1

Активный пользователь
Сообщения
2,404
Реакции
929
Баллы
383
Это ясно). Файлы переименовались и называются теперь типа uxyzbddeghijklmn.puw.id-{VWYZBBCEFFGHJJKLMNOPQRSSTVWXXYZABCDE-05.12.2014 10@42@534471808}-email-mserbinov@aol.com-ver-6.1.0.0.b.cbf как узнать какая у меня версия трояна?
RannohDecryptor вам не поможет. У вас 6 версия.
 
Последнее редактирование модератором:
Сверху Снизу