Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]

Начал распространение очередной шифровальщик

[COLOR=#0000ff][B]Механизм распространения[/B][/COLOR]: вредоносное вложение в электронное письмо с темой о задолженности

[COLOR=#0000ff][B]Шифруемые файлы[/B][/COLOR]:
[QUOTE][B].jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx[/B][/QUOTE]

[COLOR=#0000ff][B]Механизм работы[/B][/COLOR]: что-то экзотическое, работающее на уровне службы, завязанной на svchost.exe.
Скорее всего ключ шифрования получается с сервера злоумышленников.

Исследование продолжается...

[COLOR=#0000ff][B]Известные адреса для связи по поводу дешифратора[/COLOR][/B]:
[noparse][email protected][/noparse]
[noparse][email protected][/noparse]
[noparse][email protected][/noparse]
[noparse][email protected][/noparse]
[noparse][email protected][/noparse]
[noparse][email protected][/noparse]


[INFORMATION]

В связи с участившимися случаями [U]окончательной порчи файлов[/U] после использования [B]неподходящих[/B] для расшифровки файлов после этого шифровальщика спецутилит от Лаборатории Касперского (ЛК) и, возможно, неправильного использования спецутилиты от DrWeb обращаю внимание:

[B][COLOR="#0000CD"]RannohDecryptor[/COLOR][/B] от ЛК - расшифровывает только самые первые разновидности этого шифровальщика (конец апреля-начало мая). Все более поздние разновидности утилита не дешифрует;

[B][COLOR="#0000CD"]RectorDecryptor[/COLOR][/B] от ЛК - [B][COLOR="#FF0000"]совсем не предназначен[/COLOR][/B] для дешифровки этого типа, хотя и иногда "пытается" (это [B]ЛОЖНОЕ СРАБАТЫВАНИЕ[/B] и не нужно самостоятельно менять настройки сканирования, выбирая опцию [B][U]Удалять зашифрованные файлы после успешной расшифровки[/U][/B]);

[B][COLOR="#0000CD"]te567decrypt[/COLOR][/B] от DrWeb - как правильно пользоваться этой утилитой знают только в их техподдержке, обращаться в которую можно при наличии действующей лицензии на один из коммерческих продуктов.[/INFORMATION]

Рекомендация в сложившиеся ситуации пока такая у кого есть коммерческая лицензия на антивирус DrWeb создайте [url="https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1"]запрос[/url] в службу технической поддержки DrWeb возможно они смогут что нибудь придумать.

Лаборатория Касперского обещает дешифратор, как минимум, после майских праздников

Расшифровка файлов, зашифрованных [B]Trojan-Ransom.Win32.Cryakl[/B], добавлена в утилиту RannohDecryptor 1.4.0.0: [url]http://support.kaspersky.ru/viruses/disinfection/8547[/url]
Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).

Начала распространение новая версия

[url]https://www.virustotal.com/ru/file/eaad9883e71989f8a7a9e6f4d6b40e2dfeffe33254ea341d27ad91a53a962db8/analysis/1399739095/[/url]

Ответ из вирлаба ЛК:
[QUOTE]В присланном Вами файле обнаружено новое вредоносное программное обеспечение - [B]Trojan-Ransom.Win32.Cryakl.d[/B].[/QUOTE]

Начала распространение [URL="http://virusinfo.info/showthread.php?t=159956"]очередная модификация[/URL] (есть и другие темы).

[QUOTE]New malicious software was found in the attached file.
NZP484920.scr_ - [B]Trojan-Ransom.Win32.Cryakl.e[/B]
Its detection will be included in the next update.[/QUOTE]

Отличительный признак: видоизмененный ID.Пример
[QUOTE]{[B]NNOPRRSSTUVVWWXYZZAABCCDEFFGGHIJJKKL[/B]-19.05.2014 9:02:026301763}[/QUOTE]

Такой же измененный ID идет и в версии [URL="http://virusinfo.info/showthread.php?t=160182"][B]Cryakl.f[/B][/URL]

Начала [url=http://forum.kaspersky.com/index.php?showtopic=297357]распространение[/url] новая версия

[url]https://www.virustotal.com/ru/file/a5747cf771e784099c66d6d4cee447b49e80939b9a3086f1a506b5f8b967c4a7/analysis/1401298568/[/url]

Ответ из вирлаба ЛК:

[QUOTE]
В присланном Вами файле обнаружено новое вредоносное программное обеспечение - [B]Trojan-Ransom.Win32.Cryakl.j[/B]

Его детектирование будет включено в очередное обновление антивирусных баз.
[/QUOTE]

Такой же измененный ID идет и в версии [B]Cryakl.j[/B]

Начала [url=http://virusinfo.info/showthread.php?t=162370]распространение[/url] новая версия.

[url]https://www.virustotal.com/ru/file/81176a82ddd60aba5a38388a0ba3d5419e311a8786b8880998f9e5d21cd850a0/analysis/[/url]

Ответ из вирлаба ЛК:

В присланном Вами файле обнаружено новое вредоносное программное обеспечение - [B]Trojan-Ransom.Win32.Cryakl.o[/B]

Его детектирование будет включено в очередное обновление антивирусных баз.

Еще одна [url=http://virusinfo.info/showthread.php?t=162007]версия[/url] [B]Trojan-Ransom.Win32.Cryakl.n[/B]. За дешифратором просят обращаться на [B][email protected][/B]

Дешифровка возможна некоторых типов файлов при наличии 1 зашифрованного файла. Дешифровка осуществляется при помощи [url=http://download.geo.drweb.com/pub/drweb/tools/te567decrypt.exe][B]te567decrypt[/B][/url] от DrWeb. В предыдущей версии декриптора требовалась пара зашифрованный/не зашифрованный документ теперь в версии 1.0.2 требуется только 1 зашифрованный файл.

[NOTICE]

Добавил в первое сообщение темы чрезвычайно актуальную информацию[/NOTICE]

Начала распространение [url=http://virusinfo.info/showthread.php?t=164131]новая[/url] версия этого шифратора.

[url]https://www.virustotal.com/ru/file/50fd2e17bc1db58d0fb5860c357b757229b7b2de9fe0a3c10262ca609931df55/analysis/[/url]

[B]Примеры тем:[/B] [url]http://virusinfo.info/showthread.php?t=164131[/url]

[B]Особенности:[/B] в видоизмененном id есть такая запись: [B]ver-4.0.0.0.cbf[/B]. В этой версии автор шифратора проделал работу над ошибками и теперь по его заявлению 567 декриптор от DrWeb ничего расшифровать не сможет.

В ближайшее время шифратор будет детектироваться Лабораторией Касперского как [B]Trojan-Ransom.Win32.Cryakl.ae[/B]

Подробное описание работы шифратора Cryakl от Лаборатории Касперского.

[url]https://securelist.ru/blog/issledovaniya/24070/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/[/url]