# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]

## thyrex

Начал распространение очередной шифровальщик 

*Механизм распространения*: вредоносное вложение в электронное письмо с темой о задолженности

*Шифруемые файлы*:



> *.jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx*


*Механизм работы*: что-то экзотическое, работающее на уровне службы, завязанной на svchost.exe.
Скорее всего ключ шифрования получается с сервера злоумышленников.

Исследование продолжается...

*Известные адреса для связи по поводу дешифратора*:
[email protected] 
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]





Информация


В связи с участившимися случаями окончательной порчи файлов после использования *неподходящих* для расшифровки файлов после этого шифровальщика спецутилит от Лаборатории Касперского (ЛК) и, возможно, неправильного использования спецутилиты от DrWeb обращаю внимание:

*RannohDecryptor* от ЛК - расшифровывает только самые первые разновидности этого шифровальщика (конец апреля-начало мая). Все более поздние разновидности утилита не дешифрует;

*RectorDecryptor* от ЛК - *совсем не предназначен* для дешифровки этого типа, хотя и иногда "пытается" (это *ЛОЖНОЕ СРАБАТЫВАНИЕ* и не нужно самостоятельно менять настройки сканирования, выбирая опцию *Удалять зашифрованные файлы после успешной расшифровки*);

*te567decrypt* от DrWeb - как правильно пользоваться этой утилитой знают только в их техподдержке, обращаться в которую можно при наличии действующей лицензии на один из коммерческих продуктов.

----------

*Никита Соловьев*,  *mike 1*,  *mrak74*,  *olejah*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## mike 1

Рекомендация в сложившиеся ситуации пока такая у кого есть коммерческая лицензия на антивирус DrWeb создайте  запрос в службу технической поддержки DrWeb возможно они смогут что нибудь придумать.

----------


## thyrex

Лаборатория Касперского обещает дешифратор, как минимум, после майских праздников

----------


## thyrex

Расшифровка файлов, зашифрованных *Trojan-Ransom.Win32.Cryakl*, добавлена в утилиту RannohDecryptor 1.4.0.0: http://support.kaspersky.ru/viruses/disinfection/8547
Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).

----------


## thyrex

Начала распространение новая версия

https://www.virustotal.com/ru/file/e...is/1399739095/

Ответ из вирлаба ЛК:



> В присланном Вами файле обнаружено новое вредоносное программное обеспечение - *Trojan-Ransom.Win32.Cryakl.d*.

----------


## thyrex

Начала распространение очередная модификация (есть и другие темы).




> New malicious software was found in the attached file.
> NZP484920.scr_ - *Trojan-Ransom.Win32.Cryakl.e*
> Its detection will be included in the next update.


Отличительный признак: видоизмененный ID.Пример



> {*NNOPRRSSTUVVWWXYZZAABCCDEFFGGHIJJKKL*-19.05.2014 9:02:026301763}

----------


## thyrex

Такой же измененный ID идет и в версии *Cryakl.f*

----------


## mike 1

Начала распространение новая версия

https://www.virustotal.com/ru/file/a...is/1401298568/

Ответ из вирлаба ЛК:




> В присланном Вами файле обнаружено новое вредоносное программное обеспечение - *Trojan-Ransom.Win32.Cryakl.j*
> 
> Его детектирование будет включено в очередное обновление антивирусных баз.


Такой же измененный ID идет и в версии *Cryakl.j*

----------


## mike 1

Начала распространение новая версия. 

https://www.virustotal.com/ru/file/8...50a0/analysis/

Ответ из вирлаба ЛК:

В присланном Вами файле обнаружено новое вредоносное программное обеспечение - *Trojan-Ransom.Win32.Cryakl.o*

Его детектирование будет включено в очередное обновление антивирусных баз.

----------

niblerjkee,  *olejah*

----------


## mike 1

Еще одна версия *Trojan-Ransom.Win32.Cryakl.n*. За дешифратором просят обращаться на *[email protected]*

Дешифровка возможна некоторых типов файлов при наличии 1 зашифрованного файла. Дешифровка осуществляется при помощи *te567decrypt* от DrWeb. В предыдущей версии декриптора требовалась пара зашифрованный/не зашифрованный документ теперь в версии 1.0.2 требуется только 1 зашифрованный файл.

----------

mkl,  *olejah*,  *thyrex*

----------


## thyrex

Уведомление
*

Добавил в первое сообщение темы чрезвычайно актуальную информацию*

----------

*mike 1*,  *olejah*

----------


## mike 1

Начала распространение новая версия этого шифратора. 

https://www.virustotal.com/ru/file/5...df55/analysis/

*Примеры тем:* http://virusinfo.info/showthread.php?t=164131

*Особенности:* в видоизмененном id есть такая запись: *ver-4.0.0.0.cbf*. В этой версии автор шифратора проделал работу над ошибками и теперь по его заявлению 567 декриптор от DrWeb ничего расшифровать не сможет. 

В ближайшее время шифратор будет детектироваться Лабораторией Касперского как *Trojan-Ransom.Win32.Cryakl.ae*

----------

*olejah*

----------


## mike 1

Подробное описание работы шифратора Cryakl от Лаборатории Касперского.

https://securelist.ru/blog/issledova...azbushevalsya/

----------

