-
Файл шифратора имеет имя flkr.exe и расположен в папке C:\cpqsystem\rel1711.
Также в этой папке находятся файлы launcher.exe, delmeflk.bat, delmelaun.bat.
Шифрует файлы блоками по 512 байт с использованием алгоритма Blowfish.
Вместо шифрования удаляет файлы .bak and .tib.
Пропускает при шифрования файлы .txt, .mp3, .avi.
Все остальные файлы продлежат шифрованию, за исключением файлов в папках
Windows
Program Files
Program Files (x86)
System Volume Information
Documents and Settings
Users
Install
Music
Intel
adfs
cpqsystem
Оставляет для связи записку о выкупе INSTRUCT.txt
Information is encrypted with a strong password. To decrypt it e-mail:
[email protected] for instructions. Reserve communication channel - this jabber:
[email protected] Use jabber only when conversation via email is not possible
Расшифровка имеется. Т.к. первоначальный размер файла при шифровании нигде не сохраняется, последний блок расшифрованного файла может быть частично забит мусором, который не будет критичным для большинства файлов, за исключением текстовых файлов .log, .ini и т.п.
Лабораторией Касперского присвоен детект Trojan-Ransom.Win32.Agent.iux
In English
Ransomware file have name
flkr.exe and layout in folder
C:\cpqsystem\rel1711.
Also in this folder you can find files launcher.exe, delmeflk.bat, delmelaun.bat.
This ransomware encrypt files by 512 bytes blocks with Blowfish.
Delete (not encrypt) files with extensions
.bak and
.tib.
Skip files with extensions
.txt,
.mp3,
.avi.
All other files will be encrypt except for files in folders
Windows
Program Files
Program Files (x86)
System Volume Information
Documents and Settings
Users
Install
Music
Intel
adfs
cpqsystem
Ransomware message have name INSTRUCT.txt
Information is encrypted with a strong password. To decrypt it e-mail:
[email protected] for instructions. Reserve communication channel - this jabber:
[email protected] Use jabber only when conversation via email is not possible
We have decrypter. Since the original file size is not stored anywhere, last block of a decoded file can be partially filled with junk which is not important for most files except the text ones (.txt, log etc.).
Kaspersky Lab will detect this ransomware as
Trojan-Ransom.Win32.Agent.iuxСкрыть
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ответить с цитированием
