Показано с 1 по 13 из 13.

Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]

  1. #1
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104

    Exclamation Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]

    Начал распространение очередной шифровальщик

    Механизм распространения: вредоносное вложение в электронное письмо с темой о задолженности

    Шифруемые файлы:
    .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx
    Механизм работы: что-то экзотическое, работающее на уровне службы, завязанной на svchost.exe.
    Скорее всего ключ шифрования получается с сервера злоумышленников.

    Исследование продолжается...

    Известные адреса для связи по поводу дешифратора:
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]


    information

    Информация



    В связи с участившимися случаями окончательной порчи файлов после использования неподходящих для расшифровки файлов после этого шифровальщика спецутилит от Лаборатории Касперского (ЛК) и, возможно, неправильного использования спецутилиты от DrWeb обращаю внимание:

    RannohDecryptor от ЛК - расшифровывает только самые первые разновидности этого шифровальщика (конец апреля-начало мая). Все более поздние разновидности утилита не дешифрует;

    RectorDecryptor от ЛК - совсем не предназначен для дешифровки этого типа, хотя и иногда "пытается" (это ЛОЖНОЕ СРАБАТЫВАНИЕ и не нужно самостоятельно менять настройки сканирования, выбирая опцию Удалять зашифрованные файлы после успешной расшифровки);

    te567decrypt от DrWeb - как правильно пользоваться этой утилитой знают только в их техподдержке, обращаться в которую можно при наличии действующей лицензии на один из коммерческих продуктов.



    Последний раз редактировалось thyrex; 18.07.2014 в 21:30. Причина: Добавлена актуальная информация
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  2. Это понравилось:


  3. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  4. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Рекомендация в сложившиеся ситуации пока такая у кого есть коммерческая лицензия на антивирус DrWeb создайте запрос в службу технической поддержки DrWeb возможно они смогут что нибудь придумать.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Лаборатория Касперского обещает дешифратор, как минимум, после майских праздников
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Расшифровка файлов, зашифрованных Trojan-Ransom.Win32.Cryakl, добавлена в утилиту RannohDecryptor 1.4.0.0: http://support.kaspersky.ru/viruses/disinfection/8547
    Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Начала распространение новая версия

    https://www.virustotal.com/ru/file/e...is/1399739095/

    Ответ из вирлаба ЛК:
    В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Ransom.Win32.Cryakl.d.
    Последний раз редактировалось thyrex; 11.05.2014 в 00:20.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Начала распространение очередная модификация (есть и другие темы).

    New malicious software was found in the attached file.
    NZP484920.scr_ - Trojan-Ransom.Win32.Cryakl.e
    Its detection will be included in the next update.
    Отличительный признак: видоизмененный ID.Пример
    {NNOPRRSSTUVVWWXYZZAABCCDEFFGGHIJJKKL-19.05.2014 9:02:026301763}
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Такой же измененный ID идет и в версии Cryakl.f
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Начала распространение новая версия

    https://www.virustotal.com/ru/file/a...is/1401298568/

    Ответ из вирлаба ЛК:

    В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Ransom.Win32.Cryakl.j

    Его детектирование будет включено в очередное обновление антивирусных баз.
    Такой же измененный ID идет и в версии Cryakl.j
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Начала распространение новая версия.

    https://www.virustotal.com/ru/file/8...50a0/analysis/

    Ответ из вирлаба ЛК:

    В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Ransom.Win32.Cryakl.o

    Его детектирование будет включено в очередное обновление антивирусных баз.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  12. Это понравилось:


  13. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Еще одна версия Trojan-Ransom.Win32.Cryakl.n. За дешифратором просят обращаться на [email protected]

    Дешифровка возможна некоторых типов файлов при наличии 1 зашифрованного файла. Дешифровка осуществляется при помощи te567decrypt от DrWeb. В предыдущей версии декриптора требовалась пара зашифрованный/не зашифрованный документ теперь в версии 1.0.2 требуется только 1 зашифрованный файл.
    Последний раз редактировалось mike 1; 14.07.2014 в 07:20. Причина: Обновление от 14.07.2014
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  14. Это понравилось:


  15. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    information

    Уведомление



    Добавил в первое сообщение темы чрезвычайно актуальную информацию


    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. Это понравилось:


  17. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Начала распространение новая версия этого шифратора.

    https://www.virustotal.com/ru/file/5...df55/analysis/

    Примеры тем: http://virusinfo.info/showthread.php?t=164131

    Особенности: в видоизмененном id есть такая запись: ver-4.0.0.0.cbf. В этой версии автор шифратора проделал работу над ошибками и теперь по его заявлению 567 декриптор от DrWeb ничего расшифровать не сможет.

    В ближайшее время шифратор будет детектироваться Лабораторией Касперского как Trojan-Ransom.Win32.Cryakl.ae
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  18. Это понравилось:


  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Подробное описание работы шифратора Cryakl от Лаборатории Касперского.

    https://securelist.ru/blog/issledova...azbushevalsya/
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

Похожие темы

  1. Ответов: 286
    Последнее сообщение: 20.02.2017, 13:02
  2. Ответов: 53
    Последнее сообщение: 20.02.2016, 15:53
  3. Ответов: 2
    Последнее сообщение: 21.12.2014, 01:30
  4. Ответов: 11
    Последнее сообщение: 04.08.2014, 11:41
  5. Ответов: 1
    Последнее сообщение: 14.07.2014, 07:15

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00397 seconds with 19 queries