Зашифровано FKLOCK [Trojan-Ransom.Win32.Cryakl.az ]

Все файлы JPG, DOC, XLS, 1CD, DT, CF, DAT, HTM, BMP, GIF, PNG, TXT зашифрованы вирусом.
Шифруется все кроме заголовка (28-32байт)
Каталоги мусоряться текстовыми файлами "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"
Содержимое:

----------------------------------------------------------------------------------------------
ВНИМАНИЕ!!!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, И ЭТО ФАКТ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ -10, ПОСЛЕ ЭТОГО ВОССТАНОВЛЕНИЕ ФАЙЛОВ
БУДЕТ НЕВОЗМОЖНО.


НЕ РЕКОМЕНДУЕТСЯ:
- ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
- ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС;
- ПЫТАТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ САМОСТОЯТЕЛЬНО.


ВСЕ ЭТИ ДЕЙСТВИЯ - БЕСПОЛЕЗНАЯ ТРАТА ВАШЕГО ВРЕМЕНИ И УСИЛИЙ, А ТАКЖЕ РЕАЛЬНЫЙ РИСК ПОТЕРЯТЬ ВСЮ ИНФОРМАЦИЮ НАВСЕГДА. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА:
[email][email protected][/email]


И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.

------------------------------------------------------------------------------

тирешки я сам добавил
эти самые файлы перечисленных расширений получают после шифрования второе расширение FKLOCK
время изменения файлов не меняется но по словам чайников зашифровка произошла 30 октября 2014
результаты сбора AVZ и HiJack прилагаю.
открыт только RDP, 3 админские учетки с длинными паролями использовались просвященными пользователями.
1 учетка с несложным паролем 6 символов с правами гостя+rdp
как это не странно, но этот сервак уже шифровался три мес назад другим шифровщиком который выдавал такие файлы "Admin.xml.id-{MNOPQRRSTUVVWXYZAAABCDEEFGHIIJKKLMNN-09.07.2014 [email]3@52@37932640}[email protected][/email]"
папки windows и Program Files не шифровались вообще

Уважаемый(ая) [B]fillip[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

только заметил что какая-то зараза висит еще резидентом так как при входе на [url]http://www.kaspersky.ru/virusscanner[/url]
выдает:

Server Error

Unfortunately, there is a fault on the server. We are very sorry for the inconvenience; our specialists are currently working on the problem and normal service will be resumed shortly.

с соседнего компа заходит нормально

[QUOTE]Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Professional" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#0)
[/QUOTE]
Логи сделайте не через терминальную сессию.

ну ппц. на том компе chrome не запускается уже.

нашел пользователя с которого пошло заражение. его папка вся зашифрована остальных пользователей не тронуло. права гостя+rdp.

с консоли снимаются логи дольше явно есть разница.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

нашел откуда пошло прошлое заражение.
кажется отсюда

Содержимое папки C:\Users\scan\AppData\Local\Temp\RarLab

04.11.2014 18:36 <DIR> .
04.11.2014 18:36 <DIR> ..
04.11.2014 18:36 0 aa
14.07.2009 02:19 662*016 build.exe
09.07.2014 03:03 95 winrar.tmp
25.02.2011 08:30 489 КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

winrar.tmp:
{MNOPQRRSTUVVWXYZAAABCDEEFGHIIJKKLMNN-09.07.2014 3@52@37932640}
9163454751465548606044665492

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

есть какой-то файлик скорее всего имеющий отношение к одному из шифрований.
я его рарнул на всякий


[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

на компе стояла [url]http://webisida.com/[/url] (

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

да еще понял что у зараженного юзера зашифровались ярлыки LNK зачем неясно... под моим пользователем пока живые.

[quote="fillip;1183210"]build.exe[/quote]запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

После этого папку C:\Users\scan\AppData\Local\Temp\RarLab можно удалять

Вирусный файл из вложения ушел в вирлаб

кажется я могу доказать момент и способ заражения из логов windows defendera нашел:

************************************************************

[Сб ноя 01 2014 06:30:52] Verifying engine module...
[Сб ноя 01 2014 06:30:52] verified!
Signature updated on Сб ноя 01 2014 06:30:53
Product Version: 6.1.7600.16385
Service Version: 6.1.7600.16385
Engine Version: 1.1.11104.0
AS Signature Version: 1.187.1007.0
************************************************************
[Сб ноя 01 2014 06:30:53] Process scan started.
[Сб ноя 01 2014 06:31:08] Process scan completed.
Begin Resource Scan
Scan ID:{2CDB616C-1ADF-4C59-BBDE-A00AC9A150EE}
Scan Source:2
Start Time:Сб ноя 01 2014 17:16:59
End Time:Сб ноя 01 2014 17:17:01
Explicit resource to scan
Resource Schema:file
Resource Path:D:\Distr1C\V8Tunes\1.exe
Explicit resource to scan
Resource Schema:process
Resource Path:pid:7684
Result Count:1
Unknown File
Identifier:4026852044844302334
Number of Resources:3
Resource Schema:process
Resource Path:pid:7684
Extended Info:0
Resource Schema:process
Resource Path:pid:7684,ProcessStart:130593250194134759
Extended Info:0
Resource Schema:file
Resource Path:D:\Distr1C\V8Tunes\1.exe
Extended Info:0
End Scan
************************************************************

а этот файлец идентичен тому из темпа который я прикладывал под именем 95b102m6wask0AQ

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

для заражения был использован ip 189.1.181.53 c порта 58272 принадлежащего бразильскому оператору кабельных сетей
inetnum: 189.1.176/20
asn: AS28667
c-abusos: NIL162
titular: NETWORK TELECOMUNICACOES LTDA EPP
documento: 005.262.383/0001-90
respons&#225;vel: Clayton R de Assis
pa&#237;s: BR
c-titular: NIL162
c-t&#233;cnico: NIL162
inetrev: 189.1.180/22
servidor DNS: ns01.networktelecomunicacoes.com.br
status DNS: 03/11/2014 AA
&#250;ltimo AA: 03/11/2014
servidor DNS: ns02.networktelecomunicacoes.com.br
status DNS: 03/11/2014 AA
&#250;ltimo AA: 03/11/2014
criado: 06/10/2006
alterado: 06/10/2006

Contato (ID): NIL162
nome: Network Informatica e Cons Ltda
e-mail: [email protected]
criado: 06/09/2002
alterado: 17/04/2014

[QUOTE]В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.

95b102m6wask0AQ.exe -- [B]Trojan-Ransom.Win32.Xorist.ll[/B][/QUOTE]Как скоро будет дешифровка, не смогу сказать даже приблизительно

на том бразильском компе есть 2 принтера Microsoft XPS и FAX
когда произошел этот взлом то ему пытался помешать мой чайник. они боролись за сеанс отключая друг-друга 3 раза.
а потом почему-то пришел я тоже по уделенке и завершил их сеанс (я редко туда захожу, сам непойму зачем я это сделал)
поэтому сохранилась папка темпа откуда я и выцепил вирус сегодня. вобщем пока завершаю флуд.
будем ждать результатов )

Пришлите несколько зашифрованных файлов.

у меня есть текстовый файл 28 байт он вообще не изменился хотя расширение поменял.
58 байт явно пострадал в конце
нашел живые дубликаты испорченных файлов разной величины, из-за размера могу приложить тока так [url]https://yadi.sk/d/mxC8_5DPcVLx2[/url]

Да это можем расшифровать уже сейчас. По логам я плохого не увидел, но пароли от RDP и учетных записей поменяйте. У нас с 1 ноября расшифровка файлов идет отдельной услугой. Подробней: [url]http://virusinfo.info/content.php?r=639-decoding[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \build.exe - [B]Trojan-Ransom.Win32.Cryakl.az[/B] ( DrWEB: Trojan.Encoder.567, BitDefender: Gen:Variant.Zusy.12582, AVAST4: Win32:Malware-gen )[/LIST][/LIST]