Показано с 1 по 13 из 13.

Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]

  1. #1
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914

    Exclamation Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]

    Начал распространение очередной шифровальщик

    Механизм распространения: вредоносное вложение в электронное письмо с темой о задолженности

    Шифруемые файлы:
    .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx
    Механизм работы: что-то экзотическое, работающее на уровне службы, завязанной на svchost.exe.
    Скорее всего ключ шифрования получается с сервера злоумышленников.

    Исследование продолжается...

    Известные адреса для связи по поводу дешифратора:
    vpupkin3@aol.com
    ivanivanov34@aol.com
    mserbinov@aol.com
    marivanna1953@gmail.com
    systemsinfo32@gmail.com
    madeled@mail.ru


    information

    Информация



    В связи с участившимися случаями окончательной порчи файлов после использования неподходящих для расшифровки файлов после этого шифровальщика спецутилит от Лаборатории Касперского (ЛК) и, возможно, неправильного использования спецутилиты от DrWeb обращаю внимание:

    RannohDecryptor от ЛК - расшифровывает только самые первые разновидности этого шифровальщика (конец апреля-начало мая). Все более поздние разновидности утилита не дешифрует;

    RectorDecryptor от ЛК - совсем не предназначен для дешифровки этого типа, хотя и иногда "пытается" (это ЛОЖНОЕ СРАБАТЫВАНИЕ и не нужно самостоятельно менять настройки сканирования, выбирая опцию Удалять зашифрованные файлы после успешной расшифровки);

    te567decrypt от DrWeb - как правильно пользоваться этой утилитой знают только в их техподдержке, обращаться в которую можно при наличии действующей лицензии на один из коммерческих продуктов.



    Последний раз редактировалось thyrex; 18.07.2014 в 21:30. Причина: Добавлена актуальная информация
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  2. thyrex получил(а) 4 благодарностей за это сообщение от


  3. Реклама
     

  4. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Рекомендация в сложившиеся ситуации пока такая у кого есть коммерческая лицензия на антивирус DrWeb создайте запрос в службу технической поддержки DrWeb возможно они смогут что нибудь придумать.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Лаборатория Касперского обещает дешифратор, как минимум, после майских праздников
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Расшифровка файлов, зашифрованных Trojan-Ransom.Win32.Cryakl, добавлена в утилиту RannohDecryptor 1.4.0.0: http://support.kaspersky.ru/viruses/disinfection/8547
    Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Начала распространение новая версия

    https://www.virustotal.com/ru/file/e...is/1399739095/

    Ответ из вирлаба ЛК:
    В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Ransom.Win32.Cryakl.d.
    Последний раз редактировалось thyrex; 11.05.2014 в 00:20.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Начала распространение очередная модификация (есть и другие темы).

    New malicious software was found in the attached file.
    NZP484920.scr_ - Trojan-Ransom.Win32.Cryakl.e
    Its detection will be included in the next update.
    Отличительный признак: видоизмененный ID.Пример
    {NNOPRRSSTUVVWWXYZZAABCCDEFFGGHIJJKKL-19.05.2014 9:02:026301763}
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Такой же измененный ID идет и в версии Cryakl.f
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Начала распространение новая версия

    https://www.virustotal.com/ru/file/a...is/1401298568/

    Ответ из вирлаба ЛК:

    В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Ransom.Win32.Cryakl.j

    Его детектирование будет включено в очередное обновление антивирусных баз.
    Такой же измененный ID идет и в версии Cryakl.j
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  11. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Начала распространение новая версия.

    https://www.virustotal.com/ru/file/8...50a0/analysis/

    Ответ из вирлаба ЛК:

    В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Ransom.Win32.Cryakl.o

    Его детектирование будет включено в очередное обновление антивирусных баз.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  12. mike 1 получил(а) 2 благодарностей за это сообщение от


  13. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Еще одна версия Trojan-Ransom.Win32.Cryakl.n. За дешифратором просят обращаться на madeled@mail.ru

    Дешифровка возможна некоторых типов файлов при наличии 1 зашифрованного файла. Дешифровка осуществляется при помощи te567decrypt от DrWeb. В предыдущей версии декриптора требовалась пара зашифрованный/не зашифрованный документ теперь в версии 1.0.2 требуется только 1 зашифрованный файл.
    Последний раз редактировалось mike 1; 14.07.2014 в 07:20. Причина: Обновление от 14.07.2014
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  14. mike 1 получил(а) 3 благодарностей за это сообщение от


  15. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    information

    Уведомление



    Добавил в первое сообщение темы чрезвычайно актуальную информацию


    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. thyrex получил(а) 2 благодарностей за это сообщение от


  17. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Начала распространение новая версия этого шифратора.

    https://www.virustotal.com/ru/file/5...df55/analysis/

    Примеры тем: http://virusinfo.info/showthread.php?t=164131

    Особенности: в видоизмененном id есть такая запись: ver-4.0.0.0.cbf. В этой версии автор шифратора проделал работу над ошибками и теперь по его заявлению 567 декриптор от DrWeb ничего расшифровать не сможет.

    В ближайшее время шифратор будет детектироваться Лабораторией Касперского как Trojan-Ransom.Win32.Cryakl.ae
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  18. mike 1 получил(а) благодарность за это сообщение от


  19. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Подробное описание работы шифратора Cryakl от Лаборатории Касперского.

    https://securelist.ru/blog/issledova...azbushevalsya/
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

Похожие темы

  1. Ответов: 276
    Последнее сообщение: 12.10.2016, 12:53
  2. Ответов: 53
    Последнее сообщение: 20.02.2016, 15:53
  3. Ответов: 2
    Последнее сообщение: 21.12.2014, 01:30
  4. Ответов: 11
    Последнее сообщение: 04.08.2014, 11:41
  5. Ответов: 1
    Последнее сообщение: 14.07.2014, 07:15

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01316 seconds with 19 queries