• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,849
Реакции
2,572
Баллы
593
Начал распространение очередной шифровальщик

Механизм распространения: вредоносное вложение в электронное письмо с темой о задолженности

Шифруемые файлы:
.jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx

Механизм работы: что-то экзотическое, работающее на уровне службы, завязанной на svchost.exe.
Скорее всего ключ шифрования получается с сервера злоумышленников.

Исследование продолжается...

Известные адреса для связи по поводу дешифратора:

1. [email protected]
2. [email protected]
3. [email protected]
 
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,849
Реакции
2,572
Баллы
593
Расшифровка файлов, зашифрованных Trojan-Ransom.Win32.Cryakl, добавлена в утилиту RannohDecryptor 1.4.0.0: http://support.kaspersky.ru/viruses/disinfection/8547
Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,849
Реакции
2,572
Баллы
593
Начала распространение новая версия

https://www.virustotal.com/ru/file/...54ea341d27ad91a53a962db8/analysis/1399739095/

Ответ из вирлаба ЛК:
В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Ransom.Win32.Cryakl.d.
Его детектирование будет включено в очередное обновление антивирусных баз.
 
Последнее редактирование:

petr-ru

Активный пользователь
Сообщения
62
Реакции
27
Баллы
188
Почему-то нигде не говорится о том, что первоначальный файл из себя представляет nsis-сетапер, который извлекает из себя уже пару файлов, причем один из них почти всегда - ufr stealer.
 

oks02071987

Активный пользователь
Сообщения
2
Реакции
0
Баллы
171
Расшифровка файлов, зашифрованных Trojan-Ransom.Win32.Cryakl, добавлена в утилиту RannohDecryptor 1.4.0.0: http://support.kaspersky.ru/viruses/disinfection/8547
Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).

Добрый день! Подскажите, где найти незашифрованный файл?
 

oks02071987

Активный пользователь
Сообщения
2
Реакции
0
Баллы
171
Немного странный вопрос. На компьютере конечно. Современные версии Trojan-Ransom.Win32.Cryakl утилита не сможет расшифровать.
Это ясно). Файлы переименовались и называются теперь типа uxyzbddeghijklmn.puw.id-{VWYZBBCEFFGHJJKLMNOPQRSSTVWXXYZABCDE-05.12.2014 [email protected]@534471808}[email protected] как узнать какая у меня версия трояна?
 

mike 1

Ветеран
Сообщения
2,420
Реакции
925
Баллы
533
Последнее редактирование модератором:
Сверху Снизу