-
Junior Member
- Вес репутации
- 59
Шифровальщик Trojan-Ransom.Win32.Cryakl.t , он же Trojan.Encoder.567
Работали под ограниченной учеткой в XP SP3.
Письмо, как водится, от судебных приставов. Вложения не открывались, нажали ссылку в тексте письма.
В Program Files создается ООО РОССНИИ ИНФОРМ с вируснёй(которая на момент срабатывания обнаруживалась довольно слабо: 3 срабатывания на virustotal).
В LocalSettings\temp создается каталог test, в котором картинка заставки, екзешник и текстовый файл с содержимым:
Код:
RHZAALZQQEYEVPVPGMGMDAEKQVBVNHNSYEKG-11.07.2014 8@31@329856053
Зашифрованы *.doc, *.pdf, *jpg, *.mdb
Хвост в названии файлов:
Код:
id-{RHZAALZQQEYEVPVPGMGMDAEKQVBVNHNSYEKG-11.07.2014 8@31@329856053}[email protected].
Расширение - cbf
Утилита te567... успешно расшифровала процентов 40 doc и xls - большое спасибо Mike 1!
mdb, вроде, расшифровано, пока не на чем посмотреть.
Почти не справилась с pdf и jpg.
Есть запчасти вируса - scr, exe.
Есть пары зашифрованных-расшифрованных всех видов, в том числе jpg и pdf, если надо, вышлю.
В файлах затираются (или шифруются) первые неск. байт, возможно, и 29 и появляется хвост в неск килобайт вида:
Код:
{30161C533112B7ECD869D1666DF93A36}{39AAC1DC8023A27D03DD6424A9E3399E}{29}{5100}{255}{992715}{255}{317220}{255}{1106403}{85}{44}{90}{67}{74}{71}{12}{31}{52}{54}{55}{25}{39}{29}{98}{2}{83}{77}{35}{19}{53}{36}{36}{92}{82}{73}{50}{61}{28}{75}{88}{92}{98}{2}{49}{73}{9}{37}{66}{65}{DC1EFD06B993FF99AE3F67A815A39891}{RHZAALZQQEYEVPVPGMGMDAEKQVBVNHNSYEKG-11.07.2014 8@31@329856053}{Нужная программа опоп.pdf}{CRYPTENDBLACKDC}
Есть ли надежда на доработку te?
И как её натравить на заданный путь? ключ -path не воспринимается
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
И как её натравить на заданный путь? ключ -path не воспринимается
Никак. Ключ path в утилите не предусмотрен во всяком случае в версии 1.0.2.
Есть ли надежда на доработку te?
Думаю да.
-