зашифровано с расширением id-*_paycrypt@aol.com* , возможно, Filecoder.DG

Всем привет. 2.01.16 прилетело сие чудо - id-7063414822790367-paycrypt@aol.com.
Первый раз увидел такого типа вирус - создает 2 файла, первый содержит имя оригинала и текст {75B6FD42-3SKE-818D-9865-3YTA2892536Y}.id-7063414822790367-paycrypt@aol.com , второй - имя оригинала и  .id-7063414822790367-paycrypt@aol.com.
В инете тишина про него. Есть ли какая информация у вас?

Я понимаю, что тут, как и на любом форуме антивирусных компаний помогают с расшифровкой только при наличии лицензии, НО, если оно все таки есть, готовы приобрести 20 корпоративных. Лишний раз платить кому то за пустые надежды не хочу.

Зараженные файлы: ТЫК пароль 123
Полный образ автозапуска.  ТЫК
судя по образу система уже очищена. возможно это файл поучаствовал в шифровании
C:\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
посмотрите, нет ли его среди удаленных файлов.

с расшифровкой помогаем если есть такая возможность, но в основном расшифровкой занимаются в техподдержке, поскольку они непосредственно контактируют с вирлабом.
Изменено: santy - 13.06.2016 16:09:00
Кстати насчет C:\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE  там была только картинка Картинка"
судя по наименованию зашифрованного файла это близко к encoder.741
вот варианты, которые были ранее:
readme.txt.id-0944860228_sos@xsmail.com
gmer.zip.id-1838430874_protectdata@inbox.com
есть и другие, аналогочные
(это было в 2015)
Судя по адресу zed.zorro1@aol.com на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
Цитата
Andrew Komissarov написал:
Судя по адресу  zed.zorro1@aol.com  на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
Нашел кто то под него дешифратор?
Цитата
Евгений Афанасьев написал:
Цитата
Andrew Komissarov   написал:
Судя по адресу   zed.zorro1@aol.com   на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
Нашел кто то под него дешифратор?
Для последней версии дешифратора не было.
Надо чтобы аналитики на новую посмотрели, может авторы там где-то напортачили.
Но боюсь это только после праздников.
Цитата
Andrew Komissarov написал:
Судя по адресу zed.zorro1@aol.com на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
но если посмотреть содержимое зашифрованного файла, например в winhex, то мы не видим конечных блоков, которые характерны для вариантов Cryakl
1.2
{ENCRYPTSTART}
{GLSYELQWDIOUAGMRYEJPWBHNTZFLRXCJOUAG-14.12.2015 14@11@408503170}{18432}{CL 1.2.0.0}{32 завод .xls}{F413C6BC68060C5A02B7C9A70B9CBC3B}
{ENCRYPTENDED}
1.1
{GMHHVGBCABPQDWFGGHQRDXSMFGWWJJFFRLCC-14.08.2015 14@26@595790416}{2739210}{CL 1.1.0.0}{Страница 5 буклета.docx}{1BFAC46297582DD0CBDE4B2DFE04A7BC}
1.0
{ENCRYPTSTART}
{JQWBHLQVAFKPUZEINRWBGLQUZEJOSXBGLQVA-14.07.2015 0@11@145100333}{19968}{CL 1.0.0.0}{график.xls}{FCB99541099F2E5EA56CF56AEC5134EB}
{ENCRYPTENDED}
0.0.1.0
{ENCRYPTSTART}{SAXQDBGRIZXBFKHFQUFJOLDHMQOFWULCTXIT-29.06.2015 8@42@247880196}{27136}{CL 0.0.1.0}{смены.doc}{026214F2BE27706396C7114B229AA9DA}
поэтому развитие .Cryakl здесь не просматривается.
Изменено: santy - 13.06.2016 16:09:00
Santy
Я исходил только из контактного адреса.
Значит что-то новое.
Но это не единичное заражение. На форуме DrWeb-а есть аналогичные обращения.
Боюсь волна начнется 11-го числа, когда большинство людей на работу выйдет.
скорее всего, этот шифратор уже в ходу, поменяли только почту
вот типичный случай
rp13q4.txt.id-1898151792345732-Johnmen.24@aol.com
http://forum.esetnod32.ru/forum35/topic12799/

по моему здесь характерно, то что взламывают доступ к серверам и шифруют файлы

и файлики в этой теме аналогичные
Цитата
zoo %SystemDrive%\USERS\VIKTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\{39B8FD42-81KE-838D-9865-3YTA194436F}.EXE
delall %SystemDrive%\USERS\VIKTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\{39B8FD42-81KE-838D-9865-3YTA194436F}.EXE
хотя не факт, что этот файл имеет прямое отношение к шифратору

если погуглить по Johnmen.24@aol.com, то можно найти подобные темы на других форумам: на ЛК например, и там тоже шифрование было выполнено после взлома доступа по RDP
Изменено: santy - 13.06.2016 16:09:00
Читают тему (гостей: 2)