Страница 2 из 3 Первая 123 Последняя
Показано с 21 по 40 из 54.

«Крякающий» шифровальщик (Trojan-Ransom.Win32.Cryakl или Trojan.Encoder.567)

  1. #21
    Junior Member Репутация
    Регистрация
    11.03.2015
    Сообщений
    1
    Вес репутации
    17
    Вот уже появилась и 7 версия вируса. Друг поймал. email-mserbinov@aol.com-ver-7.0.0.0.cbf
    Прилагаю два архива. Без пароля. Один с оригинальными файлами. Второй после работы вируса:
    https://cloud.mail.ru/public/3d3afe1f35a5/_original.rar
    https://cloud.mail.ru/public/c0d9ae0...sle_virusa.rar
    ================================================== ============
    может это сможет помочь расшифровать другим.
    Я же переустановил всё. Радикально но надёжнее. :-)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    External Specialist Репутация
    Регистрация
    09.02.2015
    Сообщений
    132
    Вес репутации
    17
    Я для 7 версии уже успешно восстанавливаю ключи.
    Но не по четырем файлам.

  4. #23
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,685
    Вес репутации
    1039
    Появилась 8 версия.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #24
    External Specialist Репутация
    Регистрация
    09.02.2015
    Сообщений
    132
    Вес репутации
    17
    Интересно, они так и будут раз в неделю новую версию выпускать?

  6. #25
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,613
    Вес репутации
    3074
    Какая-нибудь бага обнаружилась, вот и вышла новая версия.
    Насколько я понял, в версии 7 автор попытался реализовать остановку работающего тела при запуске второй копии.

    В версии 8 это опять исчезло.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #26
    External Specialist Репутация
    Регистрация
    09.02.2015
    Сообщений
    132
    Вес репутации
    17
    Ничего автор не пытался реализовать в 7 версии. Просто чтобы затруднить расшифровку и подбор ключа,
    увеличил ключ до 0x1000, выборку из ключа для шифрования файлов до 0x200. И в выборку стали попадать
    только четные значения. В результате в два раза облегчился подбор ключа. С арифметикой у автора плохо.

  8. #27
    Junior Member Репутация
    Регистрация
    22.01.2015
    Сообщений
    4
    Вес репутации
    18
    Подскажите, словил шифровальщик 4 версии (id-{MPTWADGJMPTWZCFILPSUYBEHKNQUXZDGJMQS-22.03.2015 2@55@272820060}-email-decryptbase@gm...er-4.0.0.0.cbf), комп возможно вовремя выключил, потому что обнаружил файл вируса в папке "Documents and Settings\Администратор\Program Files\1\Explorer[1].exe". Вирус Касперский классифицировал, как Trojan-Ransom.Win32.Cryakl.av. В папке также лежал файл d.bat с текстом:
    ping -n 10 localhost>Nul
    del /f /q C:\Documents and Settings\Администратор\Program Files\1\*.exe
    del /f /q C:\Documents and Settings\Администратор\Program Files\1\*.bat

    и файл 1.tmp с текстом:
    {MPTWADGJMPTWZCFILPSUYBEHKNQUXZDGJMQS-22.03.2015 2@55@272820060}
    9163454751465548606044665492

    Этот текст - не ключ дешифратора? Если да, как расшифровать зашифрованное?

    Спасибо за помощь!!!

  9. #28
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,613
    Вес репутации
    3074
    Нет, не ключ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #29
    Junior Member Репутация
    Регистрация
    31.03.2015
    Сообщений
    7
    Вес репутации
    17
    Спасибо за статью,
    Не могу понять из чего состоит мастер ключ и ключ шифрования для каждого файла.
    - генерируется 100 символьная строка из латинских цифр (мастер-ключ), вычисляется MD5-хэш 40 блоков по 5 символов, который вместе с идентификатором отправляется на сервера злоумышленника (проверка наличия интернета осуществляется обращением к трем серверам - ожидает ответ от сервера);
    - шифрование подходящих типов файлов (уникальный для каждого файла ключ шифрования - MD5-хэш из строки, содержащей 40 символов случайной выборкой из мастер-ключа + случайная цифра от 0 до 9);
    В первом непонятно, что такое латинские цифры (они же римские) - это набор {I}{V}{X}{L}{D}{C}{M}....100 или {I}{II}{III}{IV}{V}{VI}{VII}.....100.
    Или это опечатка и имелись ввиду арабские 0-9.
    По второму, у меня есть хэш сумма [E441563C82976C2C58CE69C26C1FD6CD] которая состоит из 40 одинаковых индексов, а вот подобрать ее не выходит. Пробывал все символы от 0-255 с длиной строки от 0-255 (+ вариант с 1 случайным символом тоже от 0-255 на всякий случай). Ничего не выходит. Брал md5() и md5(md5()). Все в пустую.

  11. #30
    External Specialist Репутация
    Регистрация
    09.02.2015
    Сообщений
    132
    Вес репутации
    17
    По первому
    Пароль состоит из 100 латинских букв в верхнем регистре от A до Z.
    По второму
    У Вас в одном файле все индексы одинаковые?
    И что Вы хотите сделать.
    Ну узнаете одно значение из ключа, расшифруете один файл, а дальше?

  12. #31
    Junior Member Репутация
    Регистрация
    31.03.2015
    Сообщений
    7
    Вес репутации
    17
    Да, у меня в одном файле все индексы одинаковые.
    У меня таких даже 2 файла.
    Значит 2 индекса из 100 я уже нашел, найти остальные вопрос времени и везения.

  13. #32
    External Specialist Репутация
    Регистрация
    09.02.2015
    Сообщений
    132
    Вес репутации
    17
    Это 26 в степени 62 вариантов.
    А как Вы собираетесь правильность подобранного ключа проверять?

  14. #33
    Junior Member Репутация
    Регистрация
    31.03.2015
    Сообщений
    7
    Вес репутации
    17
    Значит в мастер ключе все же латинские буквы, а не латинские цифры (раз 26 в степени) , только непонятно почему 62 степень. Если длинна 100 (при 2 известных 98 ).
    А как Вы собираетесь правильность подобранного ключа проверять?
    sergh1970, мне бы пока проверку ключа шифрования, в статье написано, что это md5(md5(master[0] + master[1] + master[0] +...master[40]) + random(0,9)), m0xter4ik писал вроде без "соли" (rand(0,9)). Вроде все перепробовал, не подходит.

  15. #34
    External Specialist Репутация
    Регистрация
    09.02.2015
    Сообщений
    132
    Вес репутации
    17
    Извиняюсь, там же в десятичной системе 100
    в 98 степени.
    последнее 41 число от 0x30 до 0x39

  16. #35
    Junior Member Репутация
    Регистрация
    31.03.2015
    Сообщений
    7
    Вес репутации
    17
    Я правильно понимаю, что строка при совпадении индексов будет "AAAAAA...AAAAA35" или "....АА5"
    или вообще "444444....4444435". Проверка говорит ничего не подходит.
    Есть еще вариант "414141....4135" тут длинна строки непонятна.
    Может у вас получится подобрать ? там всего 10 вариантов.

  17. #36
    External Specialist Репутация
    Регистрация
    09.02.2015
    Сообщений
    132
    Вес репутации
    17
    Хорошо кинь ссылку на файл в личку

  18. #37
    Junior Member Репутация
    Регистрация
    31.03.2015
    Сообщений
    7
    Вес репутации
    17
    Ларчик вскрыт, не без труда и удачи конечно.
    Описывать не буду, не тот случай, чтоб указывать автору на ошибки.
    Не болейте :-).

  19. #38
    Junior Member Репутация
    Регистрация
    13.05.2015
    Сообщений
    2
    Вес репутации
    16
    Цитата Сообщение от sergh1970 Посмотреть сообщение
    Хорошо кинь ссылку на файл в личку
    Приветствую спецов!

    Знакомая попалась с "email-mserbinov@aol.com.ver-CL 0.0.1.0".
    Я Вам в личку написал. Думаю не стоит отдельную тему создавать?

  20. #39
    Junior Member Репутация
    Регистрация
    09.06.2014
    Сообщений
    6
    Вес репутации
    20
    Доброго времени
    тоже столкнулся с "email-mserbinov@aol.com.ver-CL 0.0.1.0"
    помогите если можете

  21. #40
    Junior Member Репутация
    Регистрация
    13.05.2015
    Сообщений
    2
    Вес репутации
    16
    Цитата Сообщение от vectorman Посмотреть сообщение
    Доброго времени
    тоже столкнулся с "email-mserbinov@aol.com.ver-CL 0.0.1.0"
    помогите если можете
    Следите за этой темой http://virusinfo.info/showthread.php...=1#post1271864
    Пока надежд никаких абсолютно.

Страница 2 из 3 Первая 123 Последняя

Похожие темы

  1. Троян Encoder [Trojan-Ransom.Win32.Cryakl.bo ]
    От CoStick в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 02.11.2014, 14:05
  2. Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]
    От thyrex в разделе Шифровальщики
    Ответов: 12
    Последнее сообщение: 22.10.2014, 18:10
  3. Ответов: 11
    Последнее сообщение: 04.08.2014, 10:41
  4. Ответов: 7
    Последнее сообщение: 02.08.2014, 23:00
  5. Ответов: 1
    Последнее сообщение: 14.07.2014, 06:15

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00518 seconds with 17 queries