# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Шифровальщик с расширением [email protected]_

## thyrex

Файл шифратора имеет имя *flkr.exe* и расположен в папке C:\cpqsystem\rel1711.
Также в этой папке находятся файлы launcher.exe, delmeflk.bat, delmelaun.bat.

Шифрует файлы блоками по 512 байт с использованием алгоритма Blowfish.

Вместо шифрования удаляет файлы *.bak* and *.tib*.
Пропускает при шифрования файлы *.txt*, *.mp3*, *.avi*.
Все остальные файлы продлежат шифрованию, за исключением файлов в папках



> Windows
> Program Files
> Program Files (x86)
> System Volume Information
> Documents and Settings
> Users
> Install
> Music
> Intel
> ...


Оставляет для связи записку о выкупе INSTRUCT.txt



> Information is encrypted with a strong password. To decrypt it e-mail: [email protected] for instructions. Reserve communication channel - this jabber: [email protected] Use jabber only when conversation via email is not possible


Расшифровка имеется. Т.к. первоначальный размер файла при шифровании нигде не сохраняется, последний блок расшифрованного файла может быть частично забит мусором, который не будет критичным для большинства файлов, за исключением текстовых файлов .log, .ini и т.п.

Лабораторией Касперского присвоен детект *Trojan-Ransom.Win32.Agent.iux*


In English
Ransomware file have name *flkr.exe* and layout in folder C:\cpqsystem\rel1711.
Also in this folder you can find files launcher.exe, delmeflk.bat, delmelaun.bat.
This ransomware encrypt files by 512 bytes blocks with Blowfish.

Delete (not encrypt) files with extensions *.bak* and *.tib*.
Skip files with extensions *.txt*, *.mp3*, *.avi*.
All other files will be encrypt except for files in folders



> Windows
> Program Files
> Program Files (x86)
> System Volume Information
> Documents and Settings
> Users
> Install
> Music
> Intel
> ...


Ransomware message have name INSTRUCT.txt



> Information is encrypted with a strong password. To decrypt it e-mail: [email protected] for instructions. Reserve communication channel - this jabber: [email protected] Use jabber only when conversation via email is not possible


We have decrypter. Since the original file size is not stored anywhere, last block of a decoded file can be partially filled with junk which is not important for most files except the text ones (.txt, log etc.).

Kaspersky Lab will detect this ransomware as *Trojan-Ransom.Win32.Agent.iux*Скрыть

----------

Den02,  *Никита Соловьев*,  *mrak74*,  *olejah*,  Sinn,  *Vvvyg*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

