-
Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]
Начал распространение очередной шифровальщик
Механизм распространения: вредоносное вложение в электронное письмо с темой о задолженности
Шифруемые файлы:
.jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx
Механизм работы: что-то экзотическое, работающее на уровне службы, завязанной на svchost.exe.
Скорее всего ключ шифрования получается с сервера злоумышленников.
Исследование продолжается...
Известные адреса для связи по поводу дешифратора:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
Последний раз редактировалось thyrex; 18.07.2014 в 21:30.
Причина: Добавлена актуальная информация
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Рекомендация в сложившиеся ситуации пока такая у кого есть коммерческая лицензия на антивирус DrWeb создайте запрос в службу технической поддержки DrWeb возможно они смогут что нибудь придумать.
-
-
Лаборатория Касперского обещает дешифратор, как минимум, после майских праздников
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Расшифровка файлов, зашифрованных Trojan-Ransom.Win32.Cryakl, добавлена в утилиту RannohDecryptor 1.4.0.0: http://support.kaspersky.ru/viruses/disinfection/8547
Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Начала распространение новая версия
https://www.virustotal.com/ru/file/e...is/1399739095/
Ответ из вирлаба ЛК:
В присланном Вами файле обнаружено новое вредоносное программное обеспечение -
Trojan-Ransom.Win32.Cryakl.d.
Последний раз редактировалось thyrex; 11.05.2014 в 00:20.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Начала распространение очередная модификация (есть и другие темы).
New malicious software was found in the attached file.
NZP484920.scr_ -
Trojan-Ransom.Win32.Cryakl.e
Its detection will be included in the next update.
Отличительный признак: видоизмененный ID.Пример
{
NNOPRRSSTUVVWWXYZZAABCCDEFFGGHIJJKKL-19.05.2014 9:02:026301763}
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Такой же измененный ID идет и в версии Cryakl.f
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Начала распространение новая версия
https://www.virustotal.com/ru/file/a...is/1401298568/
Ответ из вирлаба ЛК:
В присланном Вами файле обнаружено новое вредоносное программное обеспечение -
Trojan-Ransom.Win32.Cryakl.j
Его детектирование будет включено в очередное обновление антивирусных баз.
Такой же измененный ID идет и в версии Cryakl.j
-
-
Начала распространение новая версия.
https://www.virustotal.com/ru/file/8...50a0/analysis/
Ответ из вирлаба ЛК:
В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Ransom.Win32.Cryakl.o
Его детектирование будет включено в очередное обновление антивирусных баз.
-
-
Еще одна версия Trojan-Ransom.Win32.Cryakl.n. За дешифратором просят обращаться на [email protected]
Дешифровка возможна некоторых типов файлов при наличии 1 зашифрованного файла. Дешифровка осуществляется при помощи te567decrypt от DrWeb. В предыдущей версии декриптора требовалась пара зашифрованный/не зашифрованный документ теперь в версии 1.0.2 требуется только 1 зашифрованный файл.
Последний раз редактировалось mike 1; 14.07.2014 в 07:20.
Причина: Обновление от 14.07.2014
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Начала распространение новая версия этого шифратора.
https://www.virustotal.com/ru/file/5...df55/analysis/
Примеры тем: http://virusinfo.info/showthread.php?t=164131
Особенности: в видоизмененном id есть такая запись: ver-4.0.0.0.cbf. В этой версии автор шифратора проделал работу над ошибками и теперь по его заявлению 567 декриптор от DrWeb ничего расшифровать не сможет.
В ближайшее время шифратор будет детектироваться Лабораторией Касперского как Trojan-Ransom.Win32.Cryakl.ae
-
-
Подробное описание работы шифратора Cryakl от Лаборатории Касперского.
https://securelist.ru/blog/issledova...azbushevalsya/
-