Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Cryakl/CryLock - этапы "большого пути"

RSS
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 31.03.2020 10:14:46
Первая информация о шифраторе Cryakl опубликована на securelist.ru в октябре 2014 года.

 
Цитата
В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

   - информацию о размере и расположении зашифрованных блоков,
   - MD5-хэши от оригинального файла и его заголовка,
   - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
   - ID жертвы,
   - оригинальное имя зашифрованного файла,
   - метку заражения {CRYPTENDBLACKDC}.


скорее всего, Cryakl известен с начала 2014 года

ранние версии:
ver-4.0.0.0
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}[email protected]

известные почты:

  [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]


примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

ver-6.1.0.0
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 11@22@168550646}[email protected]

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]

возможно, их гораздо больше
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

ver-8.0.0.0
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 12@49@155029625}[email protected]

известные почты:

[email protected]
   [email protected]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

ver-CL 0.0.1.0

пример зашифрованного файла:
[email protected] 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 23@[email protected]

известные почты:

  [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

ver-CL 1.0.0.0

пример зашифрованного файла:
[email protected] 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@[email protected]
видим, что закодированное имя перемещено в конец заголовка.

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
    [email protected]
    [email protected]
    email- [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

ver-CL 1.0.0.0u

пример зашифрованного файла:


известные почты:

   [email protected]
   [email protected]_graf1
   [email protected]_mod
   [email protected]_mod2


ver-CL 1.1.0.0

пример зашифрованного файла:
[email protected] 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 14@[email protected]
известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

ver-CL 1.2.0.0

пример зашифрованного файла:
[email protected] 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 17@[email protected]

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   ! [email protected]
   [email protected]
   [email protected]
   email-age_empires@ aol.com

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

ver-CL 1.3.0.0
пример зашифрованного файла:
[email protected] 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 20@[email protected]
известные почты:

   [email protected]
   [email protected]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

ver-CL 1.3.1.0

пример зашифрованного файла:

известные почты:

   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)

пример зашифрованного файла:

   [email protected] 1.4.0.0.id-3908370012-23.03.2018 10@[email protected]Правила поведения вахтеров.jpg.fairytail

известные почты:

    [email protected]
   [email protected]

примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

doubleoffset (CL 1.5.1.0)

пример зашифрованного файла:
[email protected] 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

[email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

CS 1.6.0.0

пример зашифрованного файла:

известные почты:

   [email protected]
   [email protected]
   [email protected]

CS 1.7.0.1
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][[email protected]].git
известные почты:

   [email protected]

CS 1.8.0.0
пример зашифрованного файла:
branding.xml[[email protected]][2094653670-1579267651].whv
известные почты:

   [email protected]
   [email protected]
   [email protected]

CryLock 1.9.0.0

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[[email protected]][special].[10ABB6A7-867BCEF7]

известные почты:
   
[email protected]
   [email protected]
   [email protected]
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 2 3 4 5 След.
 
alx bit
alx bit
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 18.10.2020
Размещено 18.10.2020 19:15:17
Цитата
santy написал:
если не смогли получить админские права, значит не смогли бы отключить антивирусные программы, если они были установлены. Crylock должен был дететктироваться при запуске шифрования. так что ждем образ автозапуска системы, можно из безопасного режима. чтобы разглядеть ваш случай повнимательнее. тем более, что у вас снят виртуальный образ с компутера. можно внимательно изучить атаку.
да, согласен, но где БД 1с стоит, там не рекомендуется ставить антивирус, так как может повлиять отрицательно на работу.  
 
alx bit
alx bit
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 18.10.2020
Размещено 18.10.2020 19:44:51
NS.EXE я загрузил его на вирустотал, и он определил 56 вирусов под разными названиями.  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.10.2020 18:27:34
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
alx bit
alx bit
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 18.10.2020
Размещено 19.10.2020 18:31:08
Цитата
santy написал:
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
http://forum.esetnod32.ru/forum9/topic2687/
хорошо, я могу попробовать, только можете сказать, через виртуальную я сам не заражцсь?) Сетку сразу вс отключаю.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.10.2020 19:48:11
Цитата
alx bit написал:
Цитата
 santy  написал:
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
 http://forum.esetnod32.ru/forum9/topic2687/  
хорошо, я могу попробовать, только можете сказать, через виртуальную я сам не заражцсь?) Сетку сразу вс отключаю.
нет конечно, шифратор не должен запуститься из безопасного режима. если он еще остался в автозапуске.
[ Как создать образ автозапуска? ]
 
alx bit
alx bit
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 18.10.2020
Размещено 19.10.2020 19:54:24
Цитата
santy написал:
Цитата
 alx bit  написал:
Цитата
 santy  написал:
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
  http://forum.esetnod32.ru/forum9/topic2687/  
хорошо, я могу попробовать, только можете сказать, через виртуальную я сам не заражцсь?) Сетку сразу вс отключаю.
нет конечно, шифратор не должен запуститься из безопасного режима. если он еще остался в автозапуске.

да, он остался, я сразу образ снял p2v развернул, и через снэпшоты чтобы можно было тестить, что удалено было и.т.д.

зловвред не все файлы за шифровал, потому что-либо система ему не дала из за ограниченности или же он выборочно шифровал.

вирус я просто через другого пользователя зашел, вырезал и в папку в другую положил и он на том пользователе не запускается повторно.  
 
alx bit
alx bit
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 18.10.2020
Размещено 20.10.2020 07:09:16
Прошу Вас посмотреть - данный архив,
в котором находится зашифрованный файл,
это получается файл ярлык.

Если будет результат дефивроки,
можете сообщить,
мои дальнейшие действия?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.10.2020 07:39:48
файл зашифрован версией Crylock 2.0.0.0
Цитата
{sel4ru}{3E2730A7-21C21601}{2.0.0.0}
по данной версии пока нет расшифровки. ждем образ автозапуска для анализа системы, и возможности получения системных журналов.

собственно, дубль темы:
https://forum.kasperskyclub.ru/topic/75009-crylock-ili-cryakl-crylock-ili-cryakl-za-shifroval-fajly-ogranichennogo-polzovatelja-puti-reshenija/

надеюсь, будет какой-то полезный результат по вашему обращению здесь
[ Как создать образ автозапуска? ]
 
Ivan Mintsev
Ivan Mintsev
Пользователь
Сообщений: 1
Регистрация: 31.12.2020
Размещено 31.12.2020 11:35:53
Возможно, поможет специалистам создать расшифровщик. Один из наших клиентов оплатил расшифровку. Зловреды сначала прислали утилиту сканирования на предмет поиска открытого ключа (в файле data.ini), затем закрытый ключ (key.txt) и утилиту расшифровки.
Выкладываю все это на гугл-диск
https://drive.google.com/drive/folders/1lsaWogU9x-1VWBjSnqZINmcG-Fpacddf?usp=sharing
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 31.12.2020 16:18:31
Цитата
Ivan Mintsev написал:
Выкладываю все это на гугл-диск
доступ можете добавить?
+
залейте сюда же,
дешифратор, зашифрованный файл, ключ в оригинальном формате+ утилиту поиска ключа, лучше все это поместить в один файл, в архив.
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4 5 След.
Читают тему