Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]

**thyrex** · 29.04.2014, 11:45

Начал распространение очередной шифровальщик

Механизм распространения: вредоносное вложение в электронное письмо с темой о задолженности

Шифруемые файлы:

.jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx

Механизм работы: что-то экзотическое, работающее на уровне службы, завязанной на svchost.exe.
Скорее всего ключ шифрования получается с сервера злоумышленников.

Исследование продолжается...

Известные адреса для связи по поводу дешифратора:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

Информация

В связи с участившимися случаями окончательной порчи файлов после использования неподходящих для расшифровки файлов после этого шифровальщика спецутилит от Лаборатории Касперского (ЛК) и, возможно, неправильного использования спецутилиты от DrWeb обращаю внимание:

RannohDecryptor от ЛК - расшифровывает только самые первые разновидности этого шифровальщика (конец апреля-начало мая). Все более поздние разновидности утилита не дешифрует;

RectorDecryptor от ЛК - совсем не предназначен для дешифровки этого типа, хотя и иногда "пытается" (это ЛОЖНОЕ СРАБАТЫВАНИЕ и не нужно самостоятельно менять настройки сканирования, выбирая опцию Удалять зашифрованные файлы после успешной расшифровки);

te567decrypt от DrWeb - как правильно пользоваться этой утилитой знают только в их техподдержке, обращаться в которую можно при наличии действующей лицензии на один из коммерческих продуктов.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**mike 1** · 29.04.2014, 18:58

Рекомендация в сложившиеся ситуации пока такая у кого есть коммерческая лицензия на антивирус DrWeb создайте запрос в службу технической поддержки DrWeb возможно они смогут что нибудь придумать.

**thyrex** · 30.04.2014, 13:32

Лаборатория Касперского обещает дешифратор, как минимум, после майских праздников

**thyrex** · 07.05.2014, 18:40

Расшифровка файлов, зашифрованных Trojan-Ransom.Win32.Cryakl, добавлена в утилиту RannohDecryptor 1.4.0.0: http://support.kaspersky.ru/viruses/disinfection/8547
Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).

**thyrex** · 10.05.2014, 20:38

Начала распространение новая версия

https://www.virustotal.com/ru/file/e...is/1399739095/

Ответ из вирлаба ЛК:

В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Ransom.Win32.Cryakl.d.

**thyrex** · 21.05.2014, 20:31

Начала распространение очередная модификация (есть и другие темы).

New malicious software was found in the attached file.
NZP484920.scr_ - Trojan-Ransom.Win32.Cryakl.e
Its detection will be included in the next update.

Отличительный признак: видоизмененный ID.Пример

{NNOPRRSSTUVVWWXYZZAABCCDEFFGGHIJJKKL-19.05.2014 9:02:026301763}

**thyrex** · 25.05.2014, 15:15

Такой же измененный ID идет и в версии Cryakl.f

**mike 1** · 28.05.2014, 21:40

Начала распространение новая версия

https://www.virustotal.com/ru/file/a...is/1401298568/

Ответ из вирлаба ЛК:

В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Ransom.Win32.Cryakl.j

Его детектирование будет включено в очередное обновление антивирусных баз.

Такой же измененный ID идет и в версии Cryakl.j

**mike 1** · 01.07.2014, 21:14

Начала распространение новая версия.

https://www.virustotal.com/ru/file/8...50a0/analysis/

Ответ из вирлаба ЛК:

В присланном Вами файле обнаружено новое вредоносное программное обеспечение - Trojan-Ransom.Win32.Cryakl.o

Его детектирование будет включено в очередное обновление антивирусных баз.

**mike 1** · 06.07.2014, 13:46

Еще одна версия Trojan-Ransom.Win32.Cryakl.n. За дешифратором просят обращаться на [email protected]

Дешифровка возможна некоторых типов файлов при наличии 1 зашифрованного файла. Дешифровка осуществляется при помощи te567decrypt от DrWeb. В предыдущей версии декриптора требовалась пара зашифрованный/не зашифрованный документ теперь в версии 1.0.2 требуется только 1 зашифрованный файл.

**thyrex** · 18.07.2014, 21:32

Уведомление

Добавил в первое сообщение темы чрезвычайно актуальную информацию

**mike 1** · 03.08.2014, 00:43

Начала распространение новая версия этого шифратора.

https://www.virustotal.com/ru/file/5...df55/analysis/

Примеры тем: http://virusinfo.info/showthread.php?t=164131

Особенности: в видоизмененном id есть такая запись: ver-4.0.0.0.cbf. В этой версии автор шифратора проделал работу над ошибками и теперь по его заявлению 567 декриптор от DrWeb ничего расшифровать не сможет.

В ближайшее время шифратор будет детектироваться Лабораторией Касперского как Trojan-Ransom.Win32.Cryakl.ae

**mike 1** · 22.10.2014, 19:10

Подробное описание работы шифратора Cryakl от Лаборатории Касперского.

https://securelist.ru/blog/issledova...azbushevalsya/

Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]

Опции темы