Шифровальщик [Trojan-Ransom.Win32.Rakhni]

Значительное распространение в начале марта 2014 года получил очередной шифровальшик, который просит обращаться за дешифратором и ключом на почту [noparse][email protected][/noparse]

[U]Примеры тем[/U]:
[url]http://virusinfo.info/showthread.php?t=156475[/url]
[url]http://virusinfo.info/showthread.php?t=156329[/url]
[url]http://virusinfo.info/showthread.php?t=156297[/url]
[url]http://virusinfo.info/showthread.php?t=156319[/url]

[U]Источник заражения[/U]: полученное по электронной почте письмо с уведомлением о задолженности или чем-то в этом роде

[U]Механизм шифрования[/U]: После запуска вложенного в письмо файла происходит шифрование с использованием библиотеки DCPcrypt (со слегка покореженными названиями классов). На основе параметра, полученного от сервера злоумышленников, используется любой из следующих шифров:
[CODE]DES, RC2, RC4, RC5, RC6, 3DES, Blowfish, AES, GOST, IDEA, TEA, Cast128, Cast256, Ice, Twofish, Serpent, MARS, Misty1[/CODE]
Ключ для шифрования также предоставляется сервером злоумышленников.

Пример ключа:
[QUOTE]<email>[email protected]</email><key>tdY278A6DomyrHxH9oSLSoU5vI8CKXg626VX3kRvA5TSCfoAv9cenY9Jv7c8Tj3JeNv8Zdso9b8Bgm2Dk5HzRG0cCcakl3VpGgmukFKiHHJOUBh7uOvbkueNxe1J8K1DSdZ4Jzbg8LVSc5OyIazUuEzSJnsG1iaHl1AXnC4leO5gJIFhJ645zrM9G6FveG4pvtdKX8X</key><type>15</type><ext>R9kpD</ext>
[/QUOTE]
Зашифрованные файлы получают дополнительное расширение [B][email protected]_[[COLOR=#0000cd]набор из случайных символов[/COLOR]][/B]

По окончании шифрования на Рабочем столе создается текстовый файл КАК_PАЗБЛOКИРOВАТЬ_ВАШИ_ФAЙЛЫ.txt следующего содержания:

[QUOTE]Все ваши файлы были зашифрована криптостойким алгоритмом.

Расшифровать файлы можно только имея дешифратор и уникальный для вашего ПК пароль для расшифровки.
Приобрести дешифратор вы можете в течение 7 дней после прочтения этого сообщения. В дальнейшем пароль удаляется из базы и расшифровать ваши файлы будет невозможно.
Для покупки дешфратора напишите на наш email - [email][email protected][/email]
Если хотите убедится, что у нас действительно есть дешифратор для расшифровки ваших файлов, приложите к письму любой зашифрованный файл (кроме баз данных) и мы вышлем его расшифрованную версию.
Стоимость дешифратора 5000 рублей. Варианты оплаты вышлем также в ответе на ваше письмо.
=============================[/QUOTE]

[B]Вывод[/B]: создание [B]универсального[/B] декриптора (а значит, и дешифровка силами вирлабов) не представляется возможным.


Шифровальщик детектируется Лабораторией Касперского как [B]Trojan-Ransom.Win32.Rakhni.al[/B]



[CENTER][SIZE=3]Из этой же серии:[/SIZE][/CENTER]



[email][email protected][/email] [[B]Rakhni.am[/B]], [email][email protected][/email] [[B]Rakhni.ap[/B]], [email][email protected][/email] [[B]Rakhni.cc[/B]], [email][email protected][/email], [email][email protected][/email] [[B]Rakhni.cl[/B]], [email][email protected][/email] [[B]Rakhni.cq[/B]], [email][email protected][/email] [[B]Rakhni.cz[/B]], [email][email protected] [/email][[B]Rakhni.de[/B]], [email][email protected][/email] [[B]Rakhni.dg[/B]], [email][email protected][/email] [[B]Rakhni.hq[/B]]

Новая модификация с почтой [noparse][email protected][/noparse] будет детектироваться, как [B]Trojan-Ransom.Win32.Rakhni.am[/B]

Спасибо за оказанную помощь, впредь будем более внимательными к почте.

Я правильно понял, рецепта лечения (расшифровка) таких файлов нет?

Правильно поняли

Понятно. Спасибо за определенность!

[B][email protected][/B] из этой же серии
Детектируется как [B]Trojan-Ransom.Win32.Cryptor.bb[/B]

[QUOTE=thyrex;1105840][B][email protected][/B] из этой же серии
Детектируется как [B]Trojan-Ransom.Win32.Cryptor.bb[/B][/QUOTE]
Поправили детект теперь детектируется как [B]Trojan-Ransom.Win32.Rakhni.ap[/B]

Добрый день люди делающие БЕСПЛАТНО добрые дела.
Решил написать сюда, потому что Др ВЕБ, Касперский и остальные как то холодно реагируют на просьбы о помощи.

Дело в том что на компьютер фирмы 1 апреля подцепили заразу [email][email protected][/email]
Само собой все файлы зашифрованы, деньги заплатили т.к. очень важные документы.

Теперь к делу есть письмо с вложением, зараженная машина и дешифратор купленный за деньги.

Скажите что Вам нужно вытащить с зараженной машины для опытов. И куда все выложить.

[email][email protected][/email]

высылай ! Спасибо !

[quote="kolbinyur;1106112"]высылай[/quote]Что он Вам даст собственно? Дешифратор один на всю партию (для данного email), а вот ключи разные, присылаются вместе с дешифратором и вставляются прямо в окно дешифратора, скорее всего

Тогда как быть ? Как расшифровать файлы ?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=thyrex;1099805]
[B]Вывод[/B]: создание универсального декриптора не представляется возможным.
Шифровальщик детектируется Лабораторией Касперскоого как [B]Trojan-Ransom.Win32.Rakhni.al[/B][/QUOTE]
А если я достану файл-вируса из почты, это поможет ?

Кстати, в папке Roaming/324556218 есть файл html и текстовик со списков изменённых файлов, а так-же некий файл с абракадаброй, с именем [email protected]

[quote="kolbinyur;1106119"]А если я достану файл-вируса из почты, это поможет ?[/quote]Ничем не поможет

Читайте внимательно
[quote="thyrex;1099805"]Ключ для шифрования также предоставляется сервером злоумышленников.[/quote]

[QUOTE=kolbinyur;1106112][email][email protected][/email]

высылай ! Спасибо ![/QUOTE]

Извиняюсь за задержку, работа.
Вот ссылка на сам дешифратор [url]http://files.mail.ru/51A2D49738F846BF9EA40E94F590D2C1[/url]

А это из письма присланного вместе с дешифратором.

Дешифратор приложен. Пароль на архив 123456
Распакуете, запустите дешифратор, в поле PWD введите текст из файла пароль.txt, и нажмите кнопку "Decrypt"
Файл deleter.exe для удаления сообщения о зашифровки из автозагрузки и других файлов шифратора.


Back Yourfiles
[email][email protected][/email]

Само письмо с вирусом постараюсь в понедельник выложить. Еще если кто знает где точно во временных папках лежит сам вирус, прошу сказать потому что на поиски его нет времени, снесу систему и поставлю новую.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Выложил ссылку на форуме

Что и следовало ожидать, за исключением небольших изменений в формате текста для вставки
[CODE][noparse][email][email protected][/email][/noparse][key]omyD6p5NIbCOshd3EIeDIE5GlbScmkvCzT7ta19I3AnjIrbd2gHzLB7YCN1P1kin6eI76HFX8T8G[/key][type]0[/type][ext]K3fhrRI[/ext][/CODE]

[B][email protected][/B] из этой же серии

Детектируется как [B]Trojan-Ransom.Win32.Rakhni.cc[/B]

Если я правильно понял, то дешифровать файлы не получается. Правильно? Или для дешифрования необходимо использовать Касперский?

Добрый день,спасители компьютерных душ.
Настигла и меня такая же участь...огромное количество документов испорчено (зашифровано)
Хотелось попросить помощи....
Буду признателен за люб оказанную помощь.Все подробности (в том числе сам вирус и пример зашифрованного файла с содержимым в папке Roaming (AppData) могу прислать в почту.
Спасибо...

ps Суппорт касперского молчит второй день (сообщение KLAN-1533993056).Он до момента отправки им моего обращения вообще не воспринимался как вирус.Кюррейт -аналогично...В данный момент Касперский обновил свою базу и он распознается...

[quote="IN-NECO;1107841"]Если я правильно понял, то дешифровать файлы не получается[/quote]Поняли правильно. Даже имея в наличии купленный кем-то дешифратор (для подходящей Вам версии) без оригинального ключа (для каждого компьютера он свой) не обойтись. Об этом написано еще в первом сообщении темы. Примеры ключей также приводились в сообщениях №1 и №15.

[quote="Konst_19;1107845"]Буду признателен за люб оказанную помощь.[/quote]Ни один вирлаб, а мы и тем более, не сможет Вам помочь

В общем вариант вырисовывается один. Писать заявление в Управление К, платить злоумышленникам и пусть их вылавливают. Шансы на поимку есть на самом деле.