# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Шифровальщик [Trojan-Ransom.Win32.Rakhni]

## thyrex

Значительное распространение в начале марта 2014 года получил очередной шифровальшик, который просит обращаться за дешифратором и ключом на почту [email protected]

Примеры тем:
http://virusinfo.info/showthread.php?t=156475
http://virusinfo.info/showthread.php?t=156329
http://virusinfo.info/showthread.php?t=156297
http://virusinfo.info/showthread.php?t=156319

Источник заражения: полученное по электронной почте письмо с уведомлением о задолженности или чем-то в этом роде

Механизм шифрования: После запуска вложенного в письмо файла происходит шифрование с использованием библиотеки DCPcrypt (со слегка покореженными названиями классов). На основе параметра, полученного от сервера злоумышленников, используется любой из следующих шифров:


```
DES, RC2, RC4, RC5, RC6, 3DES, Blowfish, AES, GOST, IDEA, TEA, Cast128, Cast256, Ice, Twofish, Serpent, MARS, Misty1
```

Ключ для шифрования также предоставляется сервером злоумышленников.

Пример ключа:



> <email>[email protected]</email><key>tdY278A6DomyrHxH9oSLSoU5vI8CKXg626VX3kR  vA5TSCfoAv9cenY9Jv7c8Tj3JeNv8Zdso9b8Bgm2Dk5HzRG0cC  cakl3VpGgmukFKiHHJOUBh7uOvbkueNxe1J8K1DSdZ4Jzbg8LV  Sc5OyIazUuEzSJnsG1iaHl1AXnC4leO5gJIFhJ645zrM9G6Fve  G4pvtdKX8X</key><type>15</type><ext>R9kpD</ext>


Зашифрованные файлы получают дополнительное расширение  *[email protected]_[набор из случайных символов]* 

По окончании шифрования на Рабочем столе создается текстовый файл КАК_PАЗБЛOКИРOВАТЬ_ВАШИ_ФAЙЛЫ.txt следующего содержания:




> Все ваши файлы были зашифрована криптостойким алгоритмом.
> 
>  Расшифровать файлы можно только имея дешифратор и уникальный для вашего ПК пароль для расшифровки.
>  Приобрести дешифратор вы можете в течение 7 дней после прочтения этого сообщения. В дальнейшем пароль удаляется из базы и расшифровать ваши файлы будет невозможно.
>  Для покупки дешфратора напишите на наш email - [email protected]
>  Если хотите убедится, что у нас действительно есть дешифратор для расшифровки ваших файлов, приложите к письму любой зашифрованный файл (кроме баз данных) и мы вышлем его расшифрованную версию.
>  Стоимость дешифратора 5000 рублей. Варианты оплаты вышлем также в ответе на ваше письмо.
>  =============================


*Вывод*: создание *универсального* декриптора (а значит, и дешифровка силами вирлабов) не представляется возможным.


Шифровальщик детектируется  Лабораторией Касперского как *Trojan-Ransom.Win32.Rakhni.al*



Из этой же серии:


[email protected] [*Rakhni.am*], [email protected] [*Rakhni.ap*], [email protected] [*Rakhni.cc*], [email protected], [email protected] [*Rakhni.cl*], [email protected] [*Rakhni.cq*], [email protected] [*Rakhni.cz*], [email protected] [*Rakhni.de*], [email protected]  [*Rakhni.dg*], [email protected] [*Rakhni.hq*]

----------

*миднайт*,  *Ilya Shabanov*,  *olejah*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## thyrex

Новая модификация с почтой [email protected] будет детектироваться, как *Trojan-Ransom.Win32.Rakhni.am*

----------


## Kes87

Спасибо за оказанную помощь, впредь будем более внимательными к почте.

----------


## Urij

Я правильно понял, рецепта лечения (расшифровка) таких файлов нет?

----------


## thyrex

Правильно поняли

----------


## Urij

Понятно. Спасибо за определенность!

----------


## thyrex

*[email protected]* из этой же серии
Детектируется как *Trojan-Ransom.Win32.Cryptor.bb*

----------


## mike 1

> *[email protected]* из этой же серии
> Детектируется как *Trojan-Ransom.Win32.Cryptor.bb*


Поправили детект теперь детектируется как *Trojan-Ransom.Win32.Rakhni.ap*

----------


## nisn066

Добрый день люди делающие БЕСПЛАТНО добрые дела.
Решил написать сюда, потому что Др ВЕБ, Касперский и остальные как то холодно реагируют на просьбы о помощи.

Дело в том что на компьютер фирмы 1 апреля подцепили заразу [email protected] 
Само собой все файлы зашифрованы, деньги заплатили т.к. очень важные документы. 

Теперь к делу есть письмо с вложением, зараженная машина и дешифратор купленный за деньги.

Скажите что Вам нужно вытащить с  зараженной машины для опытов. И куда все выложить.

----------


## kolbinyur

[email protected] 

высылай ! Спасибо !

----------


## thyrex

> высылай


Что он Вам даст собственно? Дешифратор один на всю партию (для данного email), а вот ключи разные, присылаются вместе с дешифратором и вставляются прямо в окно дешифратора, скорее всего

----------


## kolbinyur

Тогда как быть ? Как расшифровать файлы ?

- - - Добавлено - - -




> *Вывод*: создание универсального декриптора не представляется возможным.
> Шифровальщик детектируется  Лабораторией Касперскоого как *Trojan-Ransom.Win32.Rakhni.al*


А если я достану файл-вируса из почты, это поможет ?

Кстати, в папке Roaming/324556218 есть файл html и текстовик со списков изменённых файлов, а так-же некий файл с абракадаброй, с именем [email protected]

----------


## thyrex

> А если я достану файл-вируса из почты, это поможет ?


Ничем не поможет

Читайте внимательно



> Ключ для шифрования также предоставляется сервером злоумышленников.

----------


## nisn066

> [email protected] 
> 
> высылай ! Спасибо !


Извиняюсь за задержку, работа.
Вот ссылка на сам дешифратор http://files.mail.ru/51A2D49738F846BF9EA40E94F590D2C1

А это из письма присланного вместе с дешифратором.

Дешифратор приложен. Пароль на архив 123456
Распакуете, запустите дешифратор, в поле PWD введите текст из файла пароль.txt, и нажмите кнопку "Decrypt"
Файл deleter.exe для удаления сообщения о зашифровки из автозагрузки и других файлов шифратора.


Back Yourfiles
[email protected]

Само письмо с вирусом постараюсь в понедельник выложить. Еще если кто знает где точно во временных папках лежит сам вирус, прошу сказать потому что на поиски его нет времени, снесу систему и поставлю новую.

- - - Добавлено - - -

Выложил ссылку на форуме

----------


## thyrex

Что и  следовало ожидать, за исключением небольших изменений в формате текста для вставки


```
[email][email protected][/email][key]omyD6p5NIbCOshd3EIeDIE5GlbScmkvCzT7ta19I3AnjIrbd2gHzLB7YCN1P1kin6eI76HFX8T8G[/key][type]0[/type][ext]K3fhrRI[/ext]
```

----------


## mike 1

*[email protected]* из этой же серии

Детектируется как *Trojan-Ransom.Win32.Rakhni.cc*

----------


## IN-NECO

Если я правильно понял, то дешифровать файлы не получается. Правильно? Или для дешифрования необходимо использовать Касперский?

----------


## Konst_19

Добрый день,спасители компьютерных душ.
Настигла и меня такая же участь...огромное количество документов испорчено (зашифровано)
Хотелось попросить помощи....
Буду признателен за люб оказанную помощь.Все подробности (в том числе сам вирус и пример зашифрованного файла  с содержимым в папке Roaming (AppData) могу прислать в почту.
Спасибо...

ps Суппорт касперского молчит второй день (сообщение KLAN-1533993056).Он до момента отправки им  моего обращения вообще не воспринимался как вирус.Кюррейт  -аналогично...В данный момент Касперский обновил свою базу и он  распознается...

----------


## thyrex

> Если я правильно понял, то дешифровать файлы не получается


Поняли правильно. Даже имея в наличии купленный кем-то дешифратор (для подходящей Вам версии) без оригинального ключа (для каждого компьютера он свой) не обойтись. Об этом написано еще в первом сообщении темы. Примеры ключей также приводились в сообщениях №1 и №15. 




> Буду признателен за люб оказанную помощь.


Ни один вирлаб, а мы и тем более, не сможет Вам помочь

----------


## Ilya Shabanov

В общем вариант вырисовывается один. Писать заявление в Управление К, платить злоумышленникам и пусть их вылавливают. Шансы на поимку есть на самом деле.

----------


## sij7

> В общем вариант вырисовывается один. Писать заявление в Управление К, платить злоумышленникам и пусть их вылавливают. Шансы на поимку есть на самом деле.


Тогда вопрос: куда писать? И что писать?
Так и не нашёл ответа на этот вопрос...

Тоже поймал такой же вирус ([email protected]). Касперы также развели руками.
Тоже перечислил им деньги.
Только мне расшифровщик НЕ ПРИСЛАЛИ!!!
Если не пришлют - принципиально пойду к ментам!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## vegas

[QUOTE=sij7;1110194]Тогда вопрос: куда писать? И что писать?


Заявление в полицию, образец под спойлером
Заявление
Начальнику ОМВД России по _________________________
                                                                    наименование ОМВД России
от _________________________________________________
                                      место работы, должность, ФИО заявителя

проживающего: _____________________________________
                                                       адрес места жительства
паспорт: ___________________________________________,
                           номер паспорта, дата выдачи, кем и когда выдан
контактный телефон: _________________________________
                                                                   телефон заявителя 
адрес для 
корреспонденции: ___________________________________
                                                          почтовый адрес заявителя
ЗАЯВЛЕНИЕ
о преступлении

"___" ______________ 201__ года неизвестное лицо (неизвестные лица) осуществили ________________________________________ (например: несанкционированное шифрование информации в виде файлов, расположенных на носителе информации (HDD, SSD, внешние USB-флэш накопители), принадлежащего мне компьютера).
Вышеуказанные действия были осуществлены без моего согласия. За расшифровку вышеуказанных файлов неизвестное лицо (неизвестные лица) потребовали от меня оплату в размере _____________ рублей, путем перечисления данной денежной суммы на __________________ (номер счета, платежная системы). 
Изложенные выше обстоятельства свидетельствуют о наличии в действиях неизвестного лица (неизвестных лиц) признаков преступлений в сфере компьютерной информации, предусмотренных Уголовным кодексом Российской Федерации. 
На основании изложенного и руководствуясь ст. 140, 141 УПК РФ,
ПРОШУ:
1.	Провести проверку изложенных в настоящем заявлении сведений;
2.	В случае обнаружения признаков преступлений, предусмотренных Уголовным кодексом Российской Федерации, привлечь виновных лиц к уголовной ответственности.
3.	О принятом решении сообщить заявителю в установленный законом срок.

«___»  ________________ 201__ года             ____________________ (______________________)
                                              подпись                                           Ф.И.О.
Об уголовной ответственности по ст. 306 Уголовного кодекса РФ за заведомо ложный донос о совершении преступления мне известно.
                                                                            ____________________ (______________________)
                                              подпись                                           Ф.И.О.
Скрыть

----------


## ElenaMaaya

> Заявление в полицию


 Однозначно. С последующим опубликованием хода дела и результатов (Обычно люди через какое то время или смиряются с потерей или наоборот, от радости что справедливость восторжествовала, забывают поделиться), чтоб пионеры - писатели этой гадости тоже знали, что они не неуловимы.

но для себя сделайте два вывода - если на компе есть действительно ценная информация - она должна регулярно бекапиться. а если бы просто винт навернулся? что бы тогда делали? в суд на производителя винтов подавали?

----------


## SunWind

Сегодня на одном из компьютеров в сети был выловлен новый тип этого шифровальщика, с мылом [email protected]. Подскажите, кому можно заслать *.scr и *.exe для добавления в антивирусные базы?

----------


## olejah

*SunWind*, елси не сложно, будьте добры, загрузить сюда http://virusinfo.info/showthread.php?t=37678

----------


## mike 1

*[email protected]* из той же серии.

Шифровальщик детектируется Лабораторией Касперского как *Trojan-Ransom.Win32.Rakhni.cl*

----------


## mike 1

*[email protected]* из той же серии.

Шифровальщик детектируется Лабораторией Касперского как *Trojan-Ransom.Win32.Rakhni.cq*

----------


## kiff86

Ребята, а каким образом происходит оплата? Через какие-то сервисы? Закралась мысль договориться с этими сервисами.. По "фэйку" платежа...

----------


## Kindzmarauli

Оплата идет через биткойны. Не отследить. И не договориться(  
Уже со второй заразой разбираюсь у клиентов, в первый раз была версия [email protected] , а теперь столкнулся с версией [email protected]
Знаю только что самый лучший способ уменьшить объем зашифрованных вайлов - это при первом признаке замены файлов, перезагружаться. Поле перезагрузки шифрование выключиться, и можно будет сохранить часть файлов.

----------


## kiff86

> Оплата идет через биткойны. Не отследить. И не договориться(  
> Уже со второй заразой разбираюсь у клиентов, в первый раз была версия [email protected] , а теперь столкнулся с версией [email protected]
> Знаю только что самый лучший способ уменьшить объем зашифрованных вайлов - это при первом признаке замены файлов, перезагружаться. Поле перезагрузки шифрование выключиться, и можно будет сохранить часть файлов.


Суть в том что в страчке которая всплывает с предупреждением о зашифрованных файлах, в коде html указана именно [email protected] а надпись [email protected] то есть по сути одно и тоже.. 

Печаль становилась сильнее.

PS Вы, кстати оплату производили, приходило письмо в обратку?

----------


## Coder13

Добрый день!
Работаю админом. В пятницу один из пользователей подхватил эту или похожую (подробности ниже) гадость. Поскольку у пользователя были примонтированы еще и сетевые диски вирус успешно попортил файлы и на шаре. Однако есть одно НО(!): подхваченый вирус переименовывает все файлы в формате "[email protected]_com", но ничего не шифрует! Только создает видимость! Я это к чему, перед тем как платить деньги или сносить систему просто попробуйте удалить из расширения файла злосчастный э-мейл, если после этого файл корректно откроется - то задача сильно упрощается.

P.S. - для восстановления файлов (порядка 30-40гб текстовиков) использовал простейший самописный скрипт на Python. Текст ниже. Надеюсь, опытные участники или админы сайта подтвердят, что это не очередная грубая попытка подсунуть Вам очередной вирус. Любой человек, хоть немного знакомый с программированием или хотя бы с английским языком, код и так поймет.

import os
Path = u'E:\\Folders\\etc'
def getsubs(dir):
---dirs = []
---files = []
---for dirname, dirnames, filenames in os.walk(dir):
------dirs.append(dirname)
------for subdirname in dirnames:
---------dirs.append(os.path.join(dirname, subdirname))
---------for filename in filenames:
------------files.append(os.path.join(dirname, filename))
---return dirs, files

dirs, files = getsubs(Path)
for i in files:
---if i.split(u'.')[-1] == u'[email protected]_com':
------el = 17
------arr = len(i) - el
------file_name = i[0:arr]
------os.rename(i, file_name)

Переменной Path присваиваем путь к папке с зараженными файлами. Для аналогичной ерунды с другими адресами е-мейла меняем в коде "[email protected]_com" на нужный адрес, а переменной el присваиваем длину э-мейла (кол-во символов) плюс единица. Запускаем через интерпретатор питона.
Дефисы заменить на пробелы (иначе сайт не сохранял структуру кода)!

- - - Добавлено - - -




> Добрый день!
> Работаю админом. В пятницу один из пользователей подхватил эту или похожую (подробности ниже) гадость. Поскольку у пользователя были примонтированы еще и сетевые диски вирус успешно попортил файлы и на шаре. Однако есть одно НО(!): подхваченый вирус переименовывает все файлы в формате "[email protected]_com", но ничего не шифрует! Только создает видимость! Я это к чему, перед тем как платить деньги или сносить систему просто попробуйте удалить из расширения файла злосчастный э-мейл, если после этого файл корректно откроется - то задача сильно упрощается.
> 
> P.S. - для восстановления файлов (порядка 30-40гб текстовиков) использовал простейший самописный скрипт на Python. Текст ниже. Надеюсь, опытные участники или админы сайта подтвердят, что это не очередная грубая попытка подсунуть Вам очередной вирус. Любой человек, хоть немного знакомый с программированием или хотя бы с английским языком, код и так поймет.
> 
> import os
> Path = u'E:\\Folders\\etc'
> def getsubs(dir):
> ---dirs = []
> ...


Еще раз добрый день!
Похоже, что тут я ошибся. Как выяснилось при общении с другими участниками форума с аналогичной проблемой, у них файлы действительно побились. В моем конкретном случае спасло не переименование, а то, что зараженной клиентской машине не хватило, видимо, мощей зашифровать за короткий промежуток времени 40гб текстовых файлов (не одна тысяча) на файл-шаре. Пока оставил просто переименованные обратно файлы (битых вручную не обнаружил), но восстановил заодно и бэкап на другой сервер.

----------


## Defender_689

Подскажите пожалуйста, есть ли смысл платить 5000 рублей или это банальный развод на деньги как в обычных баннерах, которые блокируют вход в Виндоус???

----------


## Татьяна11

Я тоже поймала [email protected]_sDZALg3. И чего делать? всё зашифровал.

----------


## mike 1

> Я тоже поймала [email protected]_sDZALg3. И чего делать? всё зашифровал.


В вашем случае без оригинального дешифратора не обойтись. Платить или нет решать уже вам.

----------


## mike 1

*[email protected]* из той же серии.

Шифровальщик будет детектироваться Лабораторией Касперского как *Trojan-Ransom.Win32.Rakhni.cz*

----------


## mike 1

*[email protected]* из той же серии.

Шифровальщик будет детектироваться Лабораторией Касперского как *Trojan-Ransom.Win32.Rakhni.de*

----------


## mike 1

Из той же серии:

[email protected]  [*Rakhni.dg*]

*Результат анализа сервисом VirusTotal:
*
https://www.virustotal.com/ru/file/3...72bb/analysis/

*Примеры тем: 
*
http://virusinfo.info/showthread.php?t=164069

Шифровальщик будет скоро детектироваться Лабораторией Касперского как *Trojan-Ransom.Win32.Rakhni.dg*

----------


## Роман79

Всем привет. Пожалуйста, если можете, помогите с [email protected]. После нескольких попыток, с помощью утилиты касперского rectordecryptor почти все файлы вроде бы расшифровались, но при попытке их открыть выходит либо абракадабра (если это документ) или просто невозможность их открыть. Неужели вариантоы нет и платить? Завтра работать, а система на половину в шифре. В отсутсвии главбуха решил открыть файл с темой о просрочке платежа и поплатился. Увидев, что файлы постепенно меняют вид иконок и рсширение экстренно выключил компьютер, но вирус как назло успел зашифровать именно важные для работы файлы. До диска с личными файлами не дошел. Очень жду совета. P.S. Dr.web послал, т.к. несмотря на то, что у них написано о помощи, даже если ты используешь чужой продукт. Касперский- с пятницы молчит. Так же было отправлено письмо. Но кроме отписки автомата, что письмо получено, больше ответов не было. Может так же по прчине того, что не использую их прдукт. Или же им пока нечего ответить мне, т.к. Решения пока не нашли.. Может кто уже оплатил шифровальщик и тогда выложит его? Буду благодарен. Всем заранее спасибо за помощь.

----------


## mike 1

*Роман79* прочитайте первое сообщение этой темы. Файлы нельзя расшифровать без покупки оригинального дешифратора. Использование чужих дешифраторов может окончательно превратить ваши файлы в мусор. Rector Decryptor вообще не предназначен для расшифровки этого шифратора, запуская все дешифраторы подряд вы рискуете окончательно потерять свои файлы.

----------


## thyrex

Если бы Вы читали эту тему внимательно, то увидели бы, что ключ шифрования (и соответственно дешифратор) уникальны для каждого проблемного компьютера.Использование неподходящих дешифраторов типа RectorDecryptor может окончательно убить информацию (утилита иногда ошибочно определяет возможность дешифровки)

----------


## Роман79

И так, правильно ли я понимаю, что выход у меня один - заплатить требуемую сумму? Других вариантов нет? Просто читал, что вроде как др.вэб помогает. Может купить у них какой-нибудь лицензионный продукт и выслать им файлы для написания дешифратора? Или не поможет и даже не надо пытаться?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Роман76

Привет. Ну как ? получилось что нить с дешифратором ? Просто у меня та же проблема. Но как хотябы оплатить не понимаю

----------


## Роман79

> Привет. Ну как ? получилось что нить с дешифратором ? Просто у меня та же проблема. Но как хотябы оплатить не понимаю


Привет. Пока нет (

----------


## regist

> В общем вариант вырисовывается один. Писать заявление в Управление К, платить злоумышленникам и пусть их вылавливают. Шансы на поимку есть на самом деле.


Если решите воспользоваться этим советом, то тут более подобная инструкция http://virusinfo.info/showthread.php?t=164586

----------


## werolf

Trojan.Win32.Agentb.bjmt.
выхватил сегодня. ширфет с разрешением ChipDale.
имею сам вирус и файлы его работы на компе. может кому дать для анализа и помощи для дешифровки?

----------


## thyrex

*werolf*
Вы бы читали что ли, в какую тему пишете. У Вас совершенно иной шифровальщик

----------


## v.martyanov

"Вывод: создание универсального декриптора (а значит, и дешифровка силами вирлабов) не представляется возможным." - для одной из модификаций уже создан. Остальные варианты, думаю - вопрос времени и некоторой удачи.

----------


## HealtHelp

*Ilya Shabanov*, 



Уведомление
*
ПО ИМЕЮЩИЙСЯ ИНФОРМАЦИИ:
РАЗРАБОТЧКИ ДАННОГО ВИРУСНОГО ЭКЗЕМПЛЯРА ПРЕКРАТИЛИ СВОЮ ДЕЯТЕЛЬНОСТЬ И НЕ ВЫХОДЯТ НА СВЯЗЬ С 27.04.14
*

----------

