Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 48.

Шифровальщик [Trojan-Ransom.Win32.Rakhni]

  1. #1
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,347
    Вес репутации
    3019

    Шифровальщик [Trojan-Ransom.Win32.Rakhni]

    Значительное распространение в начале марта 2014 года получил очередной шифровальшик, который просит обращаться за дешифратором и ключом на почту mrcrtools@aol.com

    Примеры тем:
    http://virusinfo.info/showthread.php?t=156475
    http://virusinfo.info/showthread.php?t=156329
    http://virusinfo.info/showthread.php?t=156297
    http://virusinfo.info/showthread.php?t=156319

    Источник заражения: полученное по электронной почте письмо с уведомлением о задолженности или чем-то в этом роде

    Механизм шифрования: После запуска вложенного в письмо файла происходит шифрование с использованием библиотеки DCPcrypt (со слегка покореженными названиями классов). На основе параметра, полученного от сервера злоумышленников, используется любой из следующих шифров:
    Код:
    DES, RC2, RC4, RC5, RC6, 3DES, Blowfish, AES, GOST, IDEA, TEA, Cast128, Cast256, Ice, Twofish, Serpent, MARS, Misty1
    Ключ для шифрования также предоставляется сервером злоумышленников.

    Пример ключа:
    <email>mrcrtools@aol.com</email><key>tdY278A6DomyrHxH9oSLSoU5vI8CKXg626VX3kR vA5TSCfoAv9cenY9Jv7c8Tj3JeNv8Zdso9b8Bgm2Dk5HzRG0cC cakl3VpGgmukFKiHHJOUBh7uOvbkueNxe1J8K1DSdZ4Jzbg8LV Sc5OyIazUuEzSJnsG1iaHl1AXnC4leO5gJIFhJ645zrM9G6Fve G4pvtdKX8X</key><type>15</type><ext>R9kpD</ext>
    Зашифрованные файлы получают дополнительное расширение .mrcrtools@aol.com_[набор из случайных символов]

    По окончании шифрования на Рабочем столе создается текстовый файл КАК_PАЗБЛOКИРOВАТЬ_ВАШИ_ФAЙЛЫ.txt следующего содержания:

    Все ваши файлы были зашифрована криптостойким алгоритмом.

    Расшифровать файлы можно только имея дешифратор и уникальный для вашего ПК пароль для расшифровки.
    Приобрести дешифратор вы можете в течение 7 дней после прочтения этого сообщения. В дальнейшем пароль удаляется из базы и расшифровать ваши файлы будет невозможно.
    Для покупки дешфратора напишите на наш email - mrcrtools@aol.com
    Если хотите убедится, что у нас действительно есть дешифратор для расшифровки ваших файлов, приложите к письму любой зашифрованный файл (кроме баз данных) и мы вышлем его расшифрованную версию.
    Стоимость дешифратора 5000 рублей. Варианты оплаты вышлем также в ответе на ваше письмо.
    =============================
    Вывод: создание универсального декриптора (а значит, и дешифровка силами вирлабов) не представляется возможным.


    Шифровальщик детектируется Лабораторией Касперского как Trojan-Ransom.Win32.Rakhni.al



    Из этой же серии:



    back_files@aol.com [Rakhni.am], back_files2014@aol.com [Rakhni.ap], backyourfiles2014@aol.com [Rakhni.cc], backyourfiles@aol.com, vernut2014@qq.com [Rakhni.cl], yourfiles2014@yahoo.com [Rakhni.cq], restorefiles2014@yahoo.fr [Rakhni.cz], filescrypt2014@foxmail.com [Rakhni.de], restoreyourfiles@qq.com [Rakhni.dg], backyourfiles@126.com [Rakhni.hq]
    Последний раз редактировалось mike 1; 08.02.2015 в 01:38. Причина: Добавлено
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  2. Это понравилось:


  3. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  4. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,347
    Вес репутации
    3019
    Новая модификация с почтой back_files@aol.com будет детектироваться, как Trojan-Ransom.Win32.Rakhni.am
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #3
    Junior Member Репутация
    Регистрация
    26.03.2014
    Сообщений
    3
    Вес репутации
    14
    Спасибо за оказанную помощь, впредь будем более внимательными к почте.

  6. #4
    Junior Member Репутация
    Регистрация
    01.04.2014
    Сообщений
    2
    Вес репутации
    14
    Я правильно понял, рецепта лечения (расшифровка) таких файлов нет?

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,347
    Вес репутации
    3019
    Правильно поняли
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #6
    Junior Member Репутация
    Регистрация
    01.04.2014
    Сообщений
    2
    Вес репутации
    14
    Понятно. Спасибо за определенность!

  9. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,347
    Вес репутации
    3019
    back_files2014@aol.com из этой же серии
    Детектируется как Trojan-Ransom.Win32.Cryptor.bb
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Цитата Сообщение от thyrex Посмотреть сообщение
    back_files2014@aol.com из этой же серии
    Детектируется как Trojan-Ransom.Win32.Cryptor.bb
    Поправили детект теперь детектируется как Trojan-Ransom.Win32.Rakhni.ap
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  11. #9
    Junior Member Репутация Репутация
    Регистрация
    03.04.2014
    Сообщений
    2
    Вес репутации
    15
    Добрый день люди делающие БЕСПЛАТНО добрые дела.
    Решил написать сюда, потому что Др ВЕБ, Касперский и остальные как то холодно реагируют на просьбы о помощи.

    Дело в том что на компьютер фирмы 1 апреля подцепили заразу back_files2014@aol.com
    Само собой все файлы зашифрованы, деньги заплатили т.к. очень важные документы.

    Теперь к делу есть письмо с вложением, зараженная машина и дешифратор купленный за деньги.

    Скажите что Вам нужно вытащить с зараженной машины для опытов. И куда все выложить.

  12. #10
    Junior Member Репутация
    Регистрация
    03.04.2014
    Сообщений
    11
    Вес репутации
    14
    kolbinyur@mail.ru

    высылай ! Спасибо !

  13. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,347
    Вес репутации
    3019
    Цитата Сообщение от kolbinyur Посмотреть сообщение
    высылай
    Что он Вам даст собственно? Дешифратор один на всю партию (для данного email), а вот ключи разные, присылаются вместе с дешифратором и вставляются прямо в окно дешифратора, скорее всего
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #12
    Junior Member Репутация
    Регистрация
    03.04.2014
    Сообщений
    11
    Вес репутации
    14
    Тогда как быть ? Как расшифровать файлы ?

    - - - Добавлено - - -

    Цитата Сообщение от thyrex Посмотреть сообщение
    Вывод: создание универсального декриптора не представляется возможным.
    Шифровальщик детектируется Лабораторией Касперскоого как Trojan-Ransom.Win32.Rakhni.al
    А если я достану файл-вируса из почты, это поможет ?

    Кстати, в папке Roaming/324556218 есть файл html и текстовик со списков изменённых файлов, а так-же некий файл с абракадаброй, с именем 1639532.png.back_files2014@aol.COM-ADONIP3

  15. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,347
    Вес репутации
    3019
    Цитата Сообщение от kolbinyur Посмотреть сообщение
    А если я достану файл-вируса из почты, это поможет ?
    Ничем не поможет

    Читайте внимательно
    Цитата Сообщение от thyrex Посмотреть сообщение
    Ключ для шифрования также предоставляется сервером злоумышленников.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #14
    Junior Member Репутация Репутация
    Регистрация
    03.04.2014
    Сообщений
    2
    Вес репутации
    15
    Цитата Сообщение от kolbinyur Посмотреть сообщение
    kolbinyur@mail.ru

    высылай ! Спасибо !
    Извиняюсь за задержку, работа.
    Вот ссылка на сам дешифратор http://files.mail.ru/51A2D49738F846BF9EA40E94F590D2C1

    А это из письма присланного вместе с дешифратором.

    Дешифратор приложен. Пароль на архив 123456
    Распакуете, запустите дешифратор, в поле PWD введите текст из файла пароль.txt, и нажмите кнопку "Decrypt"
    Файл deleter.exe для удаления сообщения о зашифровки из автозагрузки и других файлов шифратора.


    Back Yourfiles
    back_files2014@aol.com

    Само письмо с вирусом постараюсь в понедельник выложить. Еще если кто знает где точно во временных папках лежит сам вирус, прошу сказать потому что на поиски его нет времени, снесу систему и поставлю новую.

    - - - Добавлено - - -

    Выложил ссылку на форуме

  17. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,347
    Вес репутации
    3019
    Что и следовало ожидать, за исключением небольших изменений в формате текста для вставки
    Код:
    [email]back_files2014@aol.com[/email][key]omyD6p5NIbCOshd3EIeDIE5GlbScmkvCzT7ta19I3AnjIrbd2gHzLB7YCN1P1kin6eI76HFX8T8G[/key][type]0[/type][ext]K3fhrRI[/ext]
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    backyourfiles2014@aol.com из этой же серии

    Детектируется как Trojan-Ransom.Win32.Rakhni.cc
    Последний раз редактировалось thyrex; 09.04.2014 в 16:49.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  19. #17
    Junior Member (OID) Репутация
    Регистрация
    08.04.2014
    Сообщений
    4
    Вес репутации
    14
    Если я правильно понял, то дешифровать файлы не получается. Правильно? Или для дешифрования необходимо использовать Касперский?

  20. #18
    Junior Member Репутация
    Регистрация
    10.04.2014
    Сообщений
    1
    Вес репутации
    14
    Добрый день,спасители компьютерных душ.
    Настигла и меня такая же участь...огромное количество документов испорчено (зашифровано)
    Хотелось попросить помощи....
    Буду признателен за люб оказанную помощь.Все подробности (в том числе сам вирус и пример зашифрованного файла с содержимым в папке Roaming (AppData) могу прислать в почту.
    Спасибо...

    ps Суппорт касперского молчит второй день (сообщение KLAN-1533993056).Он до момента отправки им моего обращения вообще не воспринимался как вирус.Кюррейт -аналогично...В данный момент Касперский обновил свою базу и он распознается...
    Последний раз редактировалось thyrex; 10.04.2014 в 08:25.

  21. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,347
    Вес репутации
    3019
    Цитата Сообщение от IN-NECO Посмотреть сообщение
    Если я правильно понял, то дешифровать файлы не получается
    Поняли правильно. Даже имея в наличии купленный кем-то дешифратор (для подходящей Вам версии) без оригинального ключа (для каждого компьютера он свой) не обойтись. Об этом написано еще в первом сообщении темы. Примеры ключей также приводились в сообщениях №1 и №15.

    Цитата Сообщение от Konst_19 Посмотреть сообщение
    Буду признателен за люб оказанную помощь.
    Ни один вирлаб, а мы и тем более, не сможет Вам помочь
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  22. #20
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    179
    В общем вариант вырисовывается один. Писать заявление в Управление К, платить злоумышленникам и пусть их вылавливают. Шансы на поимку есть на самом деле.
    VirusInfo.info & Anti-Malware.ru | Мой блог |

Страница 1 из 3 123 Последняя

Похожие темы

  1. Карантин 373141ABD432D2C0E34253FC3A64813C [Trojan-Ransom.Win32.Rakhni.cc ]
    От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
    Ответов: 1
    Последнее сообщение: 09.04.2014, 11:35
  2. Ответов: 7
    Последнее сообщение: 03.04.2014, 12:06
  3. Шифратор back_files2014@aol.com_X0ZI4 [Trojan-Ransom.Win32.Rakhni.ap ]
    От ESumskoy в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 03.04.2014, 10:35
  4. Ответов: 3
    Последнее сообщение: 02.04.2014, 17:09
  5. Ответов: 3
    Последнее сообщение: 02.04.2014, 16:13

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00462 seconds with 16 queries