# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  KawaiiLocker: описание и расшифровка

## thyrex

Попал на анализ еще один шифровальщик, именующий себя как KawaiiLocker.

*Алгоритм шифрования*: AES в режиме OFB.

*Изменения в файлах*: шифруются первые 192 байта от начала.

*Изменения в имени файла*: без изменений.

*Сообщение вымогателя на Рабочем столе* 

HOW DECRYPT FILES.TXT
Ваши файлы (.doc,.xls,.pdf, базы данных и т.д.) были
зашифрованы криптостойким алгоритмом, расшифровать их
можно только имея уникальный для вас дешифратор файлов.


Если вы заинтересованы в расшифровке ваших файлов
свяжитесь с нами по email:


Стоимость расшифровки файлов 6000 рублей


[email protected]


Также если вы хотите убедится в том, что мы действительно
сможем расшифровать ваши файлы, вы можете приложить
любой небольшой файл, из списка на рабочем столе "crypt_list"
и мы его вам расшифруем (базы данных для теста не
расшифровываем!).


ВНИМАНИЕ! У ВАС ЕСТЬ НЕДЕЛЯ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ О
ПОКУПКЕ ДЕШИФРАТОРА, ДАЛЕЕ МЫ УДАЛЯЕМ ПАРОЛЬ ДЛЯ
РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ДАЛЕЕ ИХ РАСШИФРОВАТЬ
БУДЕТ НЕВОЗМОЖНО!
Скрыть

*Типы файлов для шифрования*:



> .1cd, .1zo, .3gp, .7z, .aa, .aac, .ac3, .ace, .aff, .amr, .arj, .avi, .cab, .cda, .cdn, .cf, .cfg, .cfu, .chm, .csv, .doc, .docx, .dt, .epf, .erf, .efd, .elf, .epub, .fb2, .flac, .flv, .geo, .gif, .grs, .ha, .html, .imolody, .imy, .iso, .jpeg, .lit, .lgf, .lgp, .lhq, .log, .m4a, .mft, .mhtml, .mobi, .mp4, .mpeg, .mov, .mts, .mxl, .odt, .ogg, .pdf, .pff, .php, .png, .ppt, .pptx, .ppx, .qcp, .rar, .rtf, .st, .sxc, .tar, .tif, .txt, .vob, .vrp, .wma, .xhtml, .xls, .xmf, .xml, .xsl, .wmv, .zoo


*Расшифровка*: возможна, утилита во вложении (*только для файлов по ссылке, ключ высылается только по запросу*).

*Как пользоваться*: 
вариант 1: из командной строки по одному файлу;
вариант 2: выбрать папку с шифрованными файлами;
вариант 3: указать путь к файлу crypt_list со списком зашифрованных файлов.

----------

*olejah*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AlexSamusev

У меня беда как раз из-за этого шифровальшика, он прошелся по всем документам (ms office и open office) и pdf... Помогите пожалуйста с ключом (недостающий бинарник в архиве)...

----------


## thyrex

Пришлите образцы шифрованных файлов

----------


## AlexSamusev

Образцы зараженных файлов

----------


## thyrex

Судя по файлам у Вас вовсе не этот шифратор поработал

----------


## AlexSamusev

Подскажите пожалуйста, в каком направлении двигаться, а то тупик какой-то... Не один гигабайт информации поврежден...

----------


## thyrex

Сообщение вымогателя для связи имеется?

----------


## AlexSamusev

самое удивительное, что вообще никаких сообщений, блокировок и прочей хрени, сопровождающей подобные случаи, не было... все обнаружилось в прнедельник, когда сотрудники стали открывать свои файлы, лежащие на файл-сервере... локально у всех все целое, кроме оно ноута... то есть, все произошло по-тихому в пятницу после обеда, согласно дате и времени изменения файлов, в понедельник это обнаружилось... на этот сайт и эту тему вышел случайно, когда пытался найти хоть какую-то информацию по таким или похожим случаям (по описанию), когда модифицируется содержимое файла при неизменном его названии и расширении...

----------


## thyrex

На проблемной машине выполните написанное ниже.

Скачайте *Farbar Recovery Scan Tool*  и сохраните на Рабочем столе.
*Примечание*: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите *Yes* для соглашения с предупреждением.
2. Убедитесь, что в окне *Optional Scan* отмечены _List BCD_, _Driver MD5_ и _90 Days Files_.

3. Нажмите кнопку *Scan*.
4. После окончания сканирования будет создан отчет (*FRST.txt*) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (*Addition.txt*).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в *один архив*) и прикрепите к сообщению.

----------


## AlexSamusev

спасибо огромное! если получится, то завтра, железно послезавтра сделаю и выложу отчеты! либо укажите, на какой адрес скинуть...

- - - - -Добавлено - - - - -

сформировал, выкладываю

----------


## thyrex

В логах ноутбука



> C:\Users\1\AppData\Roaming\RUAE0-82RAO-XETRX-GGTXA-XTXRK-OFTXA-FOGTH-OZYYY.KEY


Это Spora. Шансов никаких

----------


## AlexSamusev

следовательно, и на файл-сервере тоже, и доки не восстановить, так? еще вопрос: зараза на сервер могла проникнуть с ноута, учитывая то, что с него наверняка открывались документы на сервере?

----------


## thyrex

Spora мало того, что шифрует файлы и по сети, так еще и способности червя имеет

----------


## AlexSamusev

грустный итог... антивирусы, в плане отсекания подобной заразы, здесь бессильны? полагаю, пользователь бука выхватил его из почты, из архива с какой-то счет-фактурой...

----------

