Шифровальщик Trojan-Ransom.Win32.Cryakl.t , он же Trojan.Encoder.567

Работали под ограниченной учеткой в XP SP3.
Письмо, как водится, от судебных приставов. Вложения не открывались, нажали ссылку в тексте письма.
В Program Files создается ООО РОССНИИ ИНФОРМ с вируснёй(которая на момент срабатывания обнаруживалась довольно слабо: 3 срабатывания на virustotal).
В LocalSettings\temp создается каталог test, в котором картинка заставки, екзешник и текстовый файл с содержимым:
[CODE]RHZAALZQQEYEVPVPGMGMDAEKQVBVNHNSYEKG-11.07.2014 8@31@329856053
[/CODE]Зашифрованы *.doc, *.pdf, *jpg, *.mdb
Хвост в названии файлов: [CODE]id-{RHZAALZQQEYEVPVPGMGMDAEKQVBVNHNSYEKG-11.07.2014 8@31@329856053}[email protected].
[/CODE]
Расширение - cbf
Утилита te567... успешно расшифровала процентов 40 doc и xls - большое спасибо Mike 1!
mdb, вроде, расшифровано, пока не на чем посмотреть.
Почти не справилась с pdf и jpg.
Есть запчасти вируса - scr, exe.
Есть пары зашифрованных-расшифрованных всех видов, в том числе jpg и pdf, если надо, вышлю.
В файлах затираются (или шифруются) первые неск. байт, возможно, и 29 :) и появляется хвост в неск килобайт вида:
[CODE]{30161C533112B7ECD869D1666DF93A36}{39AAC1DC8023A27D03DD6424A9E3399E}{29}{5100}{255}{992715}{255}{317220}{255}{1106403}{85}{44}{90}{67}{74}{71}{12}{31}{52}{54}{55}{25}{39}{29}{98}{2}{83}{77}{35}{19}{53}{36}{36}{92}{82}{73}{50}{61}{28}{75}{88}{92}{98}{2}{49}{73}{9}{37}{66}{65}{DC1EFD06B993FF99AE3F67A815A39891}{RHZAALZQQEYEVPVPGMGMDAEKQVBVNHNSYEKG-11.07.2014 8@31@329856053}{Нужная программа опоп.pdf}{CRYPTENDBLACKDC}
[/CODE]Есть ли надежда на доработку te?
И как её натравить на заданный путь? ключ -path не воспринимается :(

[QUOTE]И как её натравить на заданный путь? ключ -path не воспринимается[/QUOTE]
Никак. Ключ path в утилите не предусмотрен во всяком случае в версии 1.0.2.

[QUOTE]Есть ли надежда на доработку te?[/QUOTE]
Думаю да.