Показано с 1 по 14 из 14.

KawaiiLocker: описание и расшифровка

  1. #1
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    93,293
    Вес репутации
    2971

    KawaiiLocker: описание и расшифровка

    Попал на анализ еще один шифровальщик, именующий себя как KawaiiLocker.

    Алгоритм шифрования: AES в режиме OFB.

    Изменения в файлах: шифруются первые 192 байта от начала.

    Изменения в имени файла: без изменений.

    Сообщение вымогателя на Рабочем столе

    HOW DECRYPT FILES.TXT

    Ваши файлы (.doc,.xls,.pdf, базы данных и т.д.) были
    зашифрованы криптостойким алгоритмом, расшифровать их
    можно только имея уникальный для вас дешифратор файлов.


    Если вы заинтересованы в расшифровке ваших файлов
    свяжитесь с нами по email:


    Стоимость расшифровки файлов 6000 рублей


    decrypt2016@yahoo.com


    Также если вы хотите убедится в том, что мы действительно
    сможем расшифровать ваши файлы, вы можете приложить
    любой небольшой файл, из списка на рабочем столе "crypt_list"
    и мы его вам расшифруем (базы данных для теста не
    расшифровываем!).


    ВНИМАНИЕ! У ВАС ЕСТЬ НЕДЕЛЯ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ О
    ПОКУПКЕ ДЕШИФРАТОРА, ДАЛЕЕ МЫ УДАЛЯЕМ ПАРОЛЬ ДЛЯ
    РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ДАЛЕЕ ИХ РАСШИФРОВАТЬ
    БУДЕТ НЕВОЗМОЖНО!
    Скрыть

    Типы файлов для шифрования:
    .1cd, .1zo, .3gp, .7z, .aa, .aac, .ac3, .ace, .aff, .amr, .arj, .avi, .cab, .cda, .cdn, .cf, .cfg, .cfu, .chm, .csv, .doc, .docx, .dt, .epf, .erf, .efd, .elf, .epub, .fb2, .flac, .flv, .geo, .gif, .grs, .ha, .html, .imolody, .imy, .iso, .jpeg, .lit, .lgf, .lgp, .lhq, .log, .m4a, .mft, .mhtml, .mobi, .mp4, .mpeg, .mov, .mts, .mxl, .odt, .ogg, .pdf, .pff, .php, .png, .ppt, .pptx, .ppx, .qcp, .rar, .rtf, .st, .sxc, .tar, .tif, .txt, .vob, .vrp, .wma, .xhtml, .xls, .xmf, .xml, .xsl, .wmv, .zoo
    Расшифровка: возможна, утилита во вложении (только для файлов по ссылке, ключ высылается только по запросу).

    Как пользоваться:
    вариант 1: из командной строки по одному файлу;
    вариант 2: выбрать папку с шифрованными файлами;
    вариант 3: указать путь к файлу crypt_list со списком зашифрованных файлов.
    Вложения Вложения
    Последний раз редактировалось thyrex; 07.09.2016 в 07:05.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  2. Это понравилось:


  3. Реклама
     

  4. #2
    Junior Member Репутация
    Регистрация
    25.01.2017
    Сообщений
    7
    Вес репутации
    1
    У меня беда как раз из-за этого шифровальшика, он прошелся по всем документам (ms office и open office) и pdf... Помогите пожалуйста с ключом (недостающий бинарник в архиве)...

  5. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    93,293
    Вес репутации
    2971
    Пришлите образцы шифрованных файлов
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #4
    Junior Member Репутация
    Регистрация
    25.01.2017
    Сообщений
    7
    Вес репутации
    1

    Образцы зараженных файлов

    Образцы зараженных файлов
    Вложения Вложения
    • Тип файла: rar cdr.rar (122.0 Кб, 2 просмотров)
    • Тип файла: rar doc.rar (105.4 Кб, 2 просмотров)
    • Тип файла: rar docx.rar (34.2 Кб, 1 просмотров)
    • Тип файла: rar odt.rar (37.1 Кб, 1 просмотров)
    • Тип файла: rar pdf.rar (166.2 Кб, 1 просмотров)
    • Тип файла: rar xls.rar (191.4 Кб, 1 просмотров)
    • Тип файла: rar xlsx.rar (30.5 Кб, 1 просмотров)
    • Тип файла: rar rtf.rar (193.5 Кб, 1 просмотров)
    Последний раз редактировалось AlexSamusev; 27.01.2017 в 10:41.

  7. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    93,293
    Вес репутации
    2971
    Судя по файлам у Вас вовсе не этот шифратор поработал
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #6
    Junior Member Репутация
    Регистрация
    25.01.2017
    Сообщений
    7
    Вес репутации
    1
    Подскажите пожалуйста, в каком направлении двигаться, а то тупик какой-то... Не один гигабайт информации поврежден...

  9. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    93,293
    Вес репутации
    2971
    Сообщение вымогателя для связи имеется?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #8
    Junior Member Репутация
    Регистрация
    25.01.2017
    Сообщений
    7
    Вес репутации
    1
    самое удивительное, что вообще никаких сообщений, блокировок и прочей хрени, сопровождающей подобные случаи, не было... все обнаружилось в прнедельник, когда сотрудники стали открывать свои файлы, лежащие на файл-сервере... локально у всех все целое, кроме оно ноута... то есть, все произошло по-тихому в пятницу после обеда, согласно дате и времени изменения файлов, в понедельник это обнаружилось... на этот сайт и эту тему вышел случайно, когда пытался найти хоть какую-то информацию по таким или похожим случаям (по описанию), когда модифицируется содержимое файла при неизменном его названии и расширении...

  11. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    93,293
    Вес репутации
    2971
    На проблемной машине выполните написанное ниже.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #10
    Junior Member Репутация
    Регистрация
    25.01.2017
    Сообщений
    7
    Вес репутации
    1
    спасибо огромное! если получится, то завтра, железно послезавтра сделаю и выложу отчеты! либо укажите, на какой адрес скинуть...

    - - - - -Добавлено - - - - -

    сформировал, выкладываю
    Вложения Вложения
    • Тип файла: rar book.rar (25.3 Кб, 1 просмотров)
    • Тип файла: rar server.rar (19.7 Кб, 1 просмотров)

  13. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    93,293
    Вес репутации
    2971
    В логах ноутбука
    C:\Users\1\AppData\Roaming\RUAE0-82RAO-XETRX-GGTXA-XTXRK-OFTXA-FOGTH-OZYYY.KEY
    Это Spora. Шансов никаких
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #12
    Junior Member Репутация
    Регистрация
    25.01.2017
    Сообщений
    7
    Вес репутации
    1
    следовательно, и на файл-сервере тоже, и доки не восстановить, так? еще вопрос: зараза на сервер могла проникнуть с ноута, учитывая то, что с него наверняка открывались документы на сервере?

  15. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    93,293
    Вес репутации
    2971
    Spora мало того, что шифрует файлы и по сети, так еще и способности червя имеет
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #14
    Junior Member Репутация
    Регистрация
    25.01.2017
    Сообщений
    7
    Вес репутации
    1
    грустный итог... антивирусы, в плане отсекания подобной заразы, здесь бессильны? полагаю, пользователь бука выхватил его из почты, из архива с какой-то счет-фактурой...
    Последний раз редактировалось AlexSamusev; 30.01.2017 в 08:24.

Похожие темы

  1. Нужно описание зловреда
    От IceBeerg в разделе Вредоносные программы
    Ответов: 2
    Последнее сообщение: 19.04.2007, 12:24
  2. Краткое описание Look2Me
    От Geser в разделе Описания вредоносных программ
    Ответов: 4
    Последнее сообщение: 13.02.2006, 11:58

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00334 seconds with 18 queries