• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,879
Реакции
2,431
Начал распространение очередной шифровальщик

Механизм распространения: вредоносное вложение в электронное письмо с темой о задолженности

Шифруемые файлы:
.jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx

Механизм работы: что-то экзотическое, работающее на уровне службы, завязанной на svchost.exe.
Скорее всего ключ шифрования получается с сервера злоумышленников.

Исследование продолжается...

Известные адреса для связи по поводу дешифратора:

1. vpupkin3@aol.com
2. vanivanov34@aol.com
3. mserbinov@aol.com
 
Последнее редактирование:
Расшифровка файлов, зашифрованных Trojan-Ransom.Win32.Cryakl, добавлена в утилиту RannohDecryptor 1.4.0.0: http://support.kaspersky.ru/viruses/disinfection/8547
Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).
 
Начала распространение новая версия

https://www.virustotal.com/ru/file/...54ea341d27ad91a53a962db8/analysis/1399739095/

Ответ из вирлаба ЛК:
В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Ransom.Win32.Cryakl.d.
Его детектирование будет включено в очередное обновление антивирусных баз.
 
Последнее редактирование:
Почему-то нигде не говорится о том, что первоначальный файл из себя представляет nsis-сетапер, который извлекает из себя уже пару файлов, причем один из них почти всегда - ufr stealer.
 
Расшифровка файлов, зашифрованных Trojan-Ransom.Win32.Cryakl, добавлена в утилиту RannohDecryptor 1.4.0.0: http://support.kaspersky.ru/viruses/disinfection/8547
Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).

Добрый день! Подскажите, где найти незашифрованный файл?
 
Немного странный вопрос. На компьютере конечно. Современные версии Trojan-Ransom.Win32.Cryakl утилита не сможет расшифровать.
Это ясно). Файлы переименовались и называются теперь типа uxyzbddeghijklmn.puw.id-{VWYZBBCEFFGHJJKLMNOPQRSSTVWXXYZABCDE-05.12.2014 10@42@534471808}-email-mserbinov@aol.com-ver-6.1.0.0.b.cbf как узнать какая у меня версия трояна?
 
Это ясно). Файлы переименовались и называются теперь типа uxyzbddeghijklmn.puw.id-{VWYZBBCEFFGHJJKLMNOPQRSSTVWXXYZABCDE-05.12.2014 10@42@534471808}-email-mserbinov@aol.com-ver-6.1.0.0.b.cbf как узнать какая у меня версия трояна?
RannohDecryptor вам не поможет. У вас 6 версия.
 
Последнее редактирование модератором:
Назад
Сверху Снизу