Зашифровано FKLOCK [Trojan-Ransom.Win32.Cryakl.az ]

[fillip]

Все файлы JPG, DOC, XLS, 1CD, DT, CF, DAT, HTM, BMP, GIF, PNG, TXT зашифрованы вирусом.
Шифруется все кроме заголовка (28-32байт)
Каталоги мусоряться текстовыми файлами "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"
Содержимое:

----------------------------------------------------------------------------------------------
ВНИМАНИЕ!!!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, И ЭТО ФАКТ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ -10, ПОСЛЕ ЭТОГО ВОССТАНОВЛЕНИЕ ФАЙЛОВ
БУДЕТ НЕВОЗМОЖНО.


НЕ РЕКОМЕНДУЕТСЯ:
- ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
- ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС;
- ПЫТАТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ САМОСТОЯТЕЛЬНО.


ВСЕ ЭТИ ДЕЙСТВИЯ - БЕСПОЛЕЗНАЯ ТРАТА ВАШЕГО ВРЕМЕНИ И УСИЛИЙ, А ТАКЖЕ РЕАЛЬНЫЙ РИСК ПОТЕРЯТЬ ВСЮ ИНФОРМАЦИЮ НАВСЕГДА. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА:
[email protected]


И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.

------------------------------------------------------------------------------

тирешки я сам добавил
эти самые файлы перечисленных расширений получают после шифрования второе расширение FKLOCK
время изменения файлов не меняется но по словам чайников зашифровка произошла 30 октября 2014
результаты сбора AVZ и HiJack прилагаю.
открыт только RDP, 3 админские учетки с длинными паролями использовались просвященными пользователями.
1 учетка с несложным паролем 6 символов с правами гостя+rdp
как это не странно, но этот сервак уже шифровался три мес назад другим шифровщиком который выдавал такие файлы "Admin.xml.id-{MNOPQRRSTUVVWXYZAAABCDEEFGHIIJKKLMNN-09.07.2014 3@52@37932640}[email protected]"
папки windows и Program Files не шифровались вообще

[Info_bot]

Уважаемый(ая) fillip, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[fillip]

только заметил что какая-то зараза висит еще резидентом так как при входе на http://www.kaspersky.ru/virusscanner
выдает:

Server Error

Unfortunately, there is a fault on the server. We are very sorry for the inconvenience; our specialists are currently working on the problem and normal service will be resumed shortly.

с соседнего компа заходит нормально

[mike 1]

Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Professional" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#0)

Логи сделайте не через терминальную сессию.

[fillip]

ну ппц. на том компе chrome не запускается уже.

нашел пользователя с которого пошло заражение. его папка вся зашифрована остальных пользователей не тронуло. права гостя+rdp.

с консоли снимаются логи дольше явно есть разница.

- - - - -Добавлено - - - - -

нашел откуда пошло прошлое заражение.
кажется отсюда

Содержимое папки C:\Users\scan\AppData\Local\Temp\RarLab

04.11.2014 18:36 <DIR> .
04.11.2014 18:36 <DIR> ..
04.11.2014 18:36 0 aa
14.07.2009 02:19 662*016 build.exe
09.07.2014 03:03 95 winrar.tmp
25.02.2011 08:30 489 КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

winrar.tmp:
{MNOPQRRSTUVVWXYZAAABCDEEFGHIIJKKLMNN-09.07.2014 3@52@37932640}
9163454751465548606044665492

- - - - -Добавлено - - - - -

есть какой-то файлик скорее всего имеющий отношение к одному из шифрований.
я его рарнул на всякий


- - - - -Добавлено - - - - -

на компе стояла http://webisida.com/ (

- - - - -Добавлено - - - - -

да еще понял что у зараженного юзера зашифровались ярлыки LNK зачем неясно... под моим пользователем пока живые.

[thyrex]

build.exe

запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

После этого папку C:\Users\scan\AppData\Local\Temp\RarLab можно удалять

Вирусный файл из вложения ушел в вирлаб

[fillip]

кажется я могу доказать момент и способ заражения из логов windows defendera нашел:

************************************************** **********

[Сб ноя 01 2014 06:30:52] Verifying engine module...
[Сб ноя 01 2014 06:30:52] verified!
Signature updated on Сб ноя 01 2014 06:30:53
Product Version: 6.1.7600.16385
Service Version: 6.1.7600.16385
Engine Version: 1.1.11104.0
AS Signature Version: 1.187.1007.0
************************************************** **********
[Сб ноя 01 2014 06:30:53] Process scan started.
[Сб ноя 01 2014 06:31:08] Process scan completed.
Begin Resource Scan
Scan ID:{2CDB616C-1ADF-4C59-BBDE-A00AC9A150EE}
Scan Source:2
Start Time:Сб ноя 01 2014 17:16:59
End Time:Сб ноя 01 2014 17:17:01
Explicit resource to scan
Resource Schema:file
Resource Path:\Distr1C\V8Tunes\1.exe
Explicit resource to scan
Resource Schema:process
Resource Path:pid:7684
Result Count:1
Unknown File
Identifier:4026852044844302334
Number of Resources:3
Resource Schema:process
Resource Path:pid:7684
Extended Info:0
Resource Schema:process
Resource Path:pid:7684,ProcessStart:130593250194134759
Extended Info:0
Resource Schema:file
Resource Path:\Distr1C\V8Tunes\1.exe
Extended Info:0
End Scan
************************************************** **********

а этот файлец идентичен тому из темпа который я прикладывал под именем 95b102m6wask0AQ

- - - - -Добавлено - - - - -

для заражения был использован ip 189.1.181.53 c порта 58272 принадлежащего бразильскому оператору кабельных сетей
inetnum: 189.1.176/20
asn: AS28667
c-abusos: NIL162
titular: NETWORK TELECOMUNICACOES LTDA EPP
documento: 005.262.383/0001-90
respons&#225;vel: Clayton R de Assis
pa&#237;s: BR
c-titular: NIL162
c-t&#233;cnico: NIL162
inetrev: 189.1.180/22
servidor DNS: ns01.networktelecomunicacoes.com.br
status DNS: 03/11/2014 AA
&#250;ltimo AA: 03/11/2014
servidor DNS: ns02.networktelecomunicacoes.com.br
status DNS: 03/11/2014 AA
&#250;ltimo AA: 03/11/2014
criado: 06/10/2006
alterado: 06/10/2006

Contato (ID): NIL162
nome: Network Informatica e Cons Ltda
e-mail: [email protected]
criado: 06/09/2002
alterado: 17/04/2014

[thyrex]

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.

95b102m6wask0AQ.exe -- Trojan-Ransom.Win32.Xorist.ll

Как скоро будет дешифровка, не смогу сказать даже приблизительно

[fillip]

на том бразильском компе есть 2 принтера Microsoft XPS и FAX
когда произошел этот взлом то ему пытался помешать мой чайник. они боролись за сеанс отключая друг-друга 3 раза.
а потом почему-то пришел я тоже по уделенке и завершил их сеанс (я редко туда захожу, сам непойму зачем я это сделал)
поэтому сохранилась папка темпа откуда я и выцепил вирус сегодня. вобщем пока завершаю флуд.
будем ждать результатов )

[mike 1]

Пришлите несколько зашифрованных файлов.

[fillip]

у меня есть текстовый файл 28 байт он вообще не изменился хотя расширение поменял.
58 байт явно пострадал в конце
нашел живые дубликаты испорченных файлов разной величины, из-за размера могу приложить тока так https://yadi.sk/d/mxC8_5DPcVLx2

[mike 1]

Да это можем расшифровать уже сейчас. По логам я плохого не увидел, но пароли от RDP и учетных записей поменяйте. У нас с 1 ноября расшифровка файлов идет отдельной услугой. Подробней: http://virusinfo.info/content.php?r=639-decoding

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. \build.exe - Trojan-Ransom.Win32.Cryakl.az ( DrWEB: Trojan.Encoder.567, BitDefender: Gen:Variant.Zusy.12582, AVAST4: Win32:Malware-gen )