зашифровано с расширением id-*_paycrypt@aol.com* - Форум технической поддержки ESET NOD32

Сообщений: 6

Баллов: 3

Регистрация: 06.01.2016

Размещено 06.01.2016 14:08:59

Всем привет. 2.01.16 прилетело сие чудо - [email protected].
Первый раз увидел такого типа вирус - создает 2 файла, первый содержит имя оригинала и текст {75B6FD42-3SKE-818D-9865-3YTA2892536Y}[email protected] , второй - имя оригинала и [email protected].
В инете тишина про него. Есть ли какая информация у вас?

Я понимаю, что тут, как и на любом форуме антивирусных компаний помогают с расшифровкой только при наличии лицензии, НО, если оно все таки есть, готовы приобрести 20 корпоративных. Лишний раз платить кому то за пустые надежды не хочу.

Зараженные файлы: ТЫК пароль 123
Полный образ автозапуска. ТЫК

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 06.01.2016 14:59:38

судя по образу система уже очищена. возможно это файл поучаствовал в шифровании
C:\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
посмотрите, нет ли его среди удаленных файлов.

с расшифровкой помогаем если есть такая возможность, но в основном расшифровкой занимаются в техподдержке, поскольку они непосредственно контактируют с вирлабом.

Изменено: santy - 13.06.2016 16:09:00

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 06.01.2016

Размещено 06.01.2016 15:04:07

Кстати насчет C:\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE там была только картинка Картинка"

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 06.01.2016 15:19:15

судя по наименованию зашифрованного файла это близко к encoder.741
вот варианты, которые были ранее:
[email protected]
[email protected]
есть и другие, аналогочные
(это было в 2015)

[ Как создать образ автозапуска? ]

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 06.01.2016 18:07:23

Судя по адресу [email protected] на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).

Сообщений: 6

Баллов: 3

Регистрация: 06.01.2016

Размещено 06.01.2016 18:20:04

Цитата
Andrew Komissarov написал: Судя по адресу [email protected] на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).

Нашел кто то под него дешифратор?

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 06.01.2016 18:32:07

Цитата

Евгений Афанасьев написал:

Цитата
Andrew Komissarov написал: Судя по адресу [email protected] на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).

Нашел кто то под него дешифратор?

Для последней версии дешифратора не было.
Надо чтобы аналитики на новую посмотрели, может авторы там где-то напортачили.
Но боюсь это только после праздников.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 06.01.2016 18:39:12

Цитата
Andrew Komissarov написал: Судя по адресу [email protected] на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).

но если посмотреть содержимое зашифрованного файла, например в winhex, то мы не видим конечных блоков, которые характерны для вариантов Cryakl
1.2
{ENCRYPTSTART}
{GLSYELQWDIOUAGMRYEJPWBHNTZFLRXCJOUAG-14.12.2015 14@11@408503170}{18432}{CL 1.2.0.0}{32 завод .xls}{F413C6BC68060C5A02B7C9A70B9CBC3B}
{ENCRYPTENDED}
1.1
{GMHHVGBCABPQDWFGGHQRDXSMFGWWJJFFRLCC-14.08.2015 14@26@595790416}{2739210}{CL 1.1.0.0}{Страница 5 буклета.docx}{1BFAC46297582DD0CBDE4B2DFE04A7BC}
1.0
{ENCRYPTSTART}
{JQWBHLQVAFKPUZEINRWBGLQUZEJOSXBGLQVA-14.07.2015 0@11@145100333}{19968}{CL 1.0.0.0}{график.xls}{FCB99541099F2E5EA56CF56AEC5134EB}
{ENCRYPTENDED}
0.0.1.0
{ENCRYPTSTART}{SAXQDBGRIZXBFKHFQUFJOLDHMQOFWULCTXIT-29.06.2015 8@42@247880196}{27136}{CL 0.0.1.0}{смены.doc}{026214F2BE27706396C7114B229AA9DA}
поэтому развитие .Cryakl здесь не просматривается.

Изменено: santy - 13.06.2016 16:09:00

[ Как создать образ автозапуска? ]

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 06.01.2016 18:57:55

Santy
Я исходил только из контактного адреса.
Значит что-то новое.
Но это не единичное заражение. На форуме DrWeb-а есть аналогичные обращения.
Боюсь волна начнется 11-го числа, когда большинство людей на работу выйдет.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 06.01.2016 19:04:05

скорее всего, этот шифратор уже в ходу, поменяли только почту
вот типичный случай
[email protected]
http://forum.esetnod32.ru/forum35/topic12799/

по моему здесь характерно, то что взламывают доступ к серверам и шифруют файлы

и файлики в этой теме аналогичные

Цитата
zoo %SystemDrive%\USERS\VIKTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B8FD42-81KE-838D-9865-3YTA194436F}.EXE delall %SystemDrive%\USERS\VIKTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B8FD42-81KE-838D-9865-3YTA194436F}.EXE

хотя не факт, что этот файл имеет прямое отношение к шифратору

если погуглить по [email protected], то можно найти подобные темы на других форумам: на ЛК например, и там тоже шифрование было выполнено после взлома доступа по RDP

Изменено: santy - 13.06.2016 16:09:00

[ Как создать образ автозапуска? ]

зашифровано с расширением id-*[email protected]* , возможно, Filecoder.DG

зашифровано с расширением id-[email protected] , возможно, Filecoder.DG