Показано с 1 по 2 из 2.

Шифровальщик Trojan-Ransom.Win32.Cryakl.t , он же Trojan.Encoder.567 (заявка № 163086)

  1. #1
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    52
    Вес репутации
    37

    Шифровальщик Trojan-Ransom.Win32.Cryakl.t , он же Trojan.Encoder.567

    Работали под ограниченной учеткой в XP SP3.
    Письмо, как водится, от судебных приставов. Вложения не открывались, нажали ссылку в тексте письма.
    В Program Files создается ООО РОССНИИ ИНФОРМ с вируснёй(которая на момент срабатывания обнаруживалась довольно слабо: 3 срабатывания на virustotal).
    В LocalSettings\temp создается каталог test, в котором картинка заставки, екзешник и текстовый файл с содержимым:
    Код:
    RHZAALZQQEYEVPVPGMGMDAEKQVBVNHNSYEKG-11.07.2014 8@31@329856053
    Зашифрованы *.doc, *.pdf, *jpg, *.mdb
    Хвост в названии файлов:
    Код:
    id-{RHZAALZQQEYEVPVPGMGMDAEKQVBVNHNSYEKG-11.07.2014 8@31@329856053}-email-mserbinov@aol.com.
    Расширение - cbf
    Утилита te567... успешно расшифровала процентов 40 doc и xls - большое спасибо Mike 1!
    mdb, вроде, расшифровано, пока не на чем посмотреть.
    Почти не справилась с pdf и jpg.
    Есть запчасти вируса - scr, exe.
    Есть пары зашифрованных-расшифрованных всех видов, в том числе jpg и pdf, если надо, вышлю.
    В файлах затираются (или шифруются) первые неск. байт, возможно, и 29 и появляется хвост в неск килобайт вида:
    Код:
    {30161C533112B7ECD869D1666DF93A36}{39AAC1DC8023A27D03DD6424A9E3399E}{29}{5100}{255}{992715}{255}{317220}{255}{1106403}{85}{44}{90}{67}{74}{71}{12}{31}{52}{54}{55}{25}{39}{29}{98}{2}{83}{77}{35}{19}{53}{36}{36}{92}{82}{73}{50}{61}{28}{75}{88}{92}{98}{2}{49}{73}{9}{37}{66}{65}{DC1EFD06B993FF99AE3F67A815A39891}{RHZAALZQQEYEVPVPGMGMDAEKQVBVNHNSYEKG-11.07.2014 8@31@329856053}{Нужная программа опоп.pdf}{CRYPTENDBLACKDC}
    Есть ли надежда на доработку te?
    И как её натравить на заданный путь? ключ -path не воспринимается

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,327
    Вес репутации
    1028
    И как её натравить на заданный путь? ключ -path не воспринимается
    Никак. Ключ path в утилите не предусмотрен во всяком случае в версии 1.0.2.

    Есть ли надежда на доработку te?
    Думаю да.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

Похожие темы

  1. Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]
    От thyrex в разделе Шифровальщики
    Ответов: 12
    Последнее сообщение: 22.10.2014, 18:10
  2. Ответов: 11
    Последнее сообщение: 04.08.2014, 10:41
  3. шифровальщик от mserbinov@aol.com [Trojan-Ransom.Win32.Cryakl.t ]
    От Constantin3010 в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 13.07.2014, 10:43
  4. Ответов: 7
    Последнее сообщение: 29.05.2014, 20:48
  5. Шифровальщик Trojan-Ransom.Win32.Hanar (Trojan.Encoder.162)
    От thyrex в разделе Шифровальщики
    Ответов: 7
    Последнее сообщение: 25.02.2013, 22:02

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01507 seconds with 16 queries