-
Шифровальщик [Trojan-Ransom.Win32.Rakhni]
Значительное распространение в начале марта 2014 года получил очередной шифровальшик, который просит обращаться за дешифратором и ключом на почту [email protected]
Примеры тем:
http://virusinfo.info/showthread.php?t=156475
http://virusinfo.info/showthread.php?t=156329
http://virusinfo.info/showthread.php?t=156297
http://virusinfo.info/showthread.php?t=156319
Источник заражения: полученное по электронной почте письмо с уведомлением о задолженности или чем-то в этом роде
Механизм шифрования: После запуска вложенного в письмо файла происходит шифрование с использованием библиотеки DCPcrypt (со слегка покореженными названиями классов). На основе параметра, полученного от сервера злоумышленников, используется любой из следующих шифров:
Код:
DES, RC2, RC4, RC5, RC6, 3DES, Blowfish, AES, GOST, IDEA, TEA, Cast128, Cast256, Ice, Twofish, Serpent, MARS, Misty1
Ключ для шифрования также предоставляется сервером злоумышленников.
Пример ключа:
<email>
[email protected]</email><key>tdY278A6DomyrHxH9oSLSoU5vI8CKXg626VX3kR vA5TSCfoAv9cenY9Jv7c8Tj3JeNv8Zdso9b8Bgm2Dk5HzRG0cC cakl3VpGgmukFKiHHJOUBh7uOvbkueNxe1J8K1DSdZ4Jzbg8LV Sc5OyIazUuEzSJnsG1iaHl1AXnC4leO5gJIFhJ645zrM9G6Fve G4pvtdKX8X</key><type>15</type><ext>R9kpD</ext>
Зашифрованные файлы получают дополнительное расширение [email protected]_[набор из случайных символов]
По окончании шифрования на Рабочем столе создается текстовый файл КАК_PАЗБЛOКИРOВАТЬ_ВАШИ_ФAЙЛЫ.txt следующего содержания:
Все ваши файлы были зашифрована криптостойким алгоритмом.
Расшифровать файлы можно только имея дешифратор и уникальный для вашего ПК пароль для расшифровки.
Приобрести дешифратор вы можете в течение 7 дней после прочтения этого сообщения. В дальнейшем пароль удаляется из базы и расшифровать ваши файлы будет невозможно.
Для покупки дешфратора напишите на наш email -
[email protected]
Если хотите убедится, что у нас действительно есть дешифратор для расшифровки ваших файлов, приложите к письму любой зашифрованный файл (кроме баз данных) и мы вышлем его расшифрованную версию.
Стоимость дешифратора 5000 рублей. Варианты оплаты вышлем также в ответе на ваше письмо.
=============================
Вывод: создание универсального декриптора (а значит, и дешифровка силами вирлабов) не представляется возможным.
Шифровальщик детектируется Лабораторией Касперского как Trojan-Ransom.Win32.Rakhni.al
Из этой же серии:
[email protected] [Rakhni.am], [email protected] [Rakhni.ap], [email protected] [Rakhni.cc], [email protected], [email protected] [Rakhni.cl], [email protected] [Rakhni.cq], [email protected] [Rakhni.cz], [email protected] [Rakhni.de], [email protected] [Rakhni.dg], [email protected] [Rakhni.hq]
Последний раз редактировалось mike 1; 08.02.2015 в 01:38.
Причина: Добавлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Новая модификация с почтой [email protected] будет детектироваться, как Trojan-Ransom.Win32.Rakhni.am
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 37
Спасибо за оказанную помощь, впредь будем более внимательными к почте.
-
Junior Member
- Вес репутации
- 37
Я правильно понял, рецепта лечения (расшифровка) таких файлов нет?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 37
Понятно. Спасибо за определенность!
-
[email protected] из этой же серии
Детектируется как Trojan-Ransom.Win32.Cryptor.bb
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
thyrex
Поправили детект теперь детектируется как Trojan-Ransom.Win32.Rakhni.ap
-
-
Junior Member
- Вес репутации
- 38
Добрый день люди делающие БЕСПЛАТНО добрые дела.
Решил написать сюда, потому что Др ВЕБ, Касперский и остальные как то холодно реагируют на просьбы о помощи.
Дело в том что на компьютер фирмы 1 апреля подцепили заразу [email protected]
Само собой все файлы зашифрованы, деньги заплатили т.к. очень важные документы.
Теперь к делу есть письмо с вложением, зараженная машина и дешифратор купленный за деньги.
Скажите что Вам нужно вытащить с зараженной машины для опытов. И куда все выложить.
-
Junior Member
- Вес репутации
- 37
[email protected]
высылай ! Спасибо !
-
Сообщение от
kolbinyur
высылай
Что он Вам даст собственно? Дешифратор один на всю партию (для данного email), а вот ключи разные, присылаются вместе с дешифратором и вставляются прямо в окно дешифратора, скорее всего
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 37
Тогда как быть ? Как расшифровать файлы ?
- - - Добавлено - - -
Сообщение от
thyrex
Вывод: создание универсального декриптора не представляется возможным.
Шифровальщик детектируется Лабораторией Касперскоого как Trojan-Ransom.Win32.Rakhni.al
А если я достану файл-вируса из почты, это поможет ?
Кстати, в папке Roaming/324556218 есть файл html и текстовик со списков изменённых файлов, а так-же некий файл с абракадаброй, с именем [email protected]
-
Сообщение от
kolbinyur
А если я достану файл-вируса из почты, это поможет ?
Ничем не поможет
Читайте внимательно
Сообщение от
thyrex
Ключ для шифрования также предоставляется сервером злоумышленников.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 38
Сообщение от
kolbinyur
Извиняюсь за задержку, работа.
Вот ссылка на сам дешифратор http://files.mail.ru/51A2D49738F846BF9EA40E94F590D2C1
А это из письма присланного вместе с дешифратором.
Дешифратор приложен. Пароль на архив 123456
Распакуете, запустите дешифратор, в поле PWD введите текст из файла пароль.txt, и нажмите кнопку "Decrypt"
Файл deleter.exe для удаления сообщения о зашифровки из автозагрузки и других файлов шифратора.
Back Yourfiles
[email protected]
Само письмо с вирусом постараюсь в понедельник выложить. Еще если кто знает где точно во временных папках лежит сам вирус, прошу сказать потому что на поиски его нет времени, снесу систему и поставлю новую.
- - - Добавлено - - -
Выложил ссылку на форуме
-
Что и следовало ожидать, за исключением небольших изменений в формате текста для вставки
Код:
[email][email protected][/email][key]omyD6p5NIbCOshd3EIeDIE5GlbScmkvCzT7ta19I3AnjIrbd2gHzLB7YCN1P1kin6eI76HFX8T8G[/key][type]0[/type][ext]K3fhrRI[/ext]
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
[email protected] из этой же серии
Детектируется как Trojan-Ransom.Win32.Rakhni.cc
Последний раз редактировалось thyrex; 09.04.2014 в 17:49.
-
-
Junior Member (OID)
- Вес репутации
- 37
Если я правильно понял, то дешифровать файлы не получается. Правильно? Или для дешифрования необходимо использовать Касперский?
-
Junior Member
- Вес репутации
- 37
Добрый день,спасители компьютерных душ.
Настигла и меня такая же участь...огромное количество документов испорчено (зашифровано)
Хотелось попросить помощи....
Буду признателен за люб оказанную помощь.Все подробности (в том числе сам вирус и пример зашифрованного файла с содержимым в папке Roaming (AppData) могу прислать в почту.
Спасибо...
ps Суппорт касперского молчит второй день (сообщение KLAN-1533993056).Он до момента отправки им моего обращения вообще не воспринимался как вирус.Кюррейт -аналогично...В данный момент Касперский обновил свою базу и он распознается...
Последний раз редактировалось thyrex; 10.04.2014 в 09:25.
-
Сообщение от
IN-NECO
Если я правильно понял, то дешифровать файлы не получается
Поняли правильно. Даже имея в наличии купленный кем-то дешифратор (для подходящей Вам версии) без оригинального ключа (для каждого компьютера он свой) не обойтись. Об этом написано еще в первом сообщении темы. Примеры ключей также приводились в сообщениях №1 и №15.
Сообщение от
Konst_19
Буду признателен за люб оказанную помощь.
Ни один вирлаб, а мы и тем более, не сможет Вам помочь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
В общем вариант вырисовывается один. Писать заявление в Управление К, платить злоумышленникам и пусть их вылавливают. Шансы на поимку есть на самом деле.
VirusInfo.info & Anti-Malware.ru |
Мой блог |
-