Cryakl/CryLock - этапы "большого пути"

RSS

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 31.03.2020 10:14:46

Первая информация о шифраторе Cryakl опубликована на securelist.ru в октябре 2014 года.

Цитата
В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая: - информацию о размере и расположении зашифрованных блоков, - MD5-хэши от оригинального файла и его заголовка, - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности, - ID жертвы, - оригинальное имя зашифрованного файла, - метку заражения {CRYPTENDBLACKDC}.

Цитата

В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

- информацию о размере и расположении зашифрованных блоков,
- MD5-хэши от оригинального файла и его заголовка,
- константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
- ID жертвы,
- оригинальное имя зашифрованного файла,
- метку заражения {CRYPTENDBLACKDC}.

скорее всего, Cryakl известен с начала 2014 года

ранние версии:
ver-4.0.0.0
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}[email protected]

известные почты:

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

примеры автозапуска в системе:

Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma C:\Program Files\temp\WINRAR.EXE

ver-6.1.0.0
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 11@22@168550646}[email protected]

известные почты:

[email protected]
[email protected]
[email protected]
[email protected]

возможно, их гораздо больше
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

ver-8.0.0.0
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 12@49@155029625}[email protected]

известные почты:

[email protected]
[email protected]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

ver-CL 0.0.1.0

пример зашифрованного файла:
[email protected] 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 23@[email protected]

известные почты:

[email protected]
[email protected]
[email protected]
[email protected]

примеры автозапуска в системе:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
C:\Program Files\monitor.exe

ver-CL 1.0.0.0

пример зашифрованного файла:
[email protected] 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@[email protected]
видим, что закодированное имя перемещено в конец заголовка.

известные почты:

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
email- [email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

примеры автозапуска в системе:

ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
C:\Program Files\simpleinf.exe

ver-CL 1.0.0.0u

пример зашифрованного файла:

известные почты:

[email protected]
[email protected]_graf1
[email protected]_mod
[email protected]_mod2

ver-CL 1.1.0.0

пример зашифрованного файла:
[email protected] 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 14@[email protected]
известные почты:

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

примеры автозапуска в системе:

ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
C:\Program Files\1C\карточка предприятия.exe

ver-CL 1.2.0.0

пример зашифрованного файла:
[email protected] 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 17@[email protected]

известные почты:

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
! [email protected]
[email protected]
[email protected]
email-age_empires@ aol.com

примеры автозапуска в системе:

ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
C:\Program Files\service.exe

ver-CL 1.3.0.0
пример зашифрованного файла:
[email protected] 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 20@[email protected]
известные почты:

[email protected]
[email protected]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool
C:\Program Files\tr.exe

ver-CL 1.3.1.0

пример зашифрованного файла:

известные почты:

[email protected][email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected][email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
...

примеры автозапуска в системе:

Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
00F5-A4D1 C:\Program Files\WinRar\резюме.exe

fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)

пример зашифрованного файла:

[email protected] 1.4.0.0.id-3908370012-23.03.2018 10@[email protected]Правила поведения вахтеров.jpg.fairytail

известные почты:

[email protected]
[email protected]

примеры автозапуска в системе:

HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\3908370012
C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

doubleoffset (CL 1.5.1.0)

пример зашифрованного файла:
[email protected] 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\1747396157
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

CS 1.6.0.0

пример зашифрованного файла:

известные почты:

[email protected]
[email protected]
[email protected]

CS 1.7.0.1
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][[email protected]].git
известные почты:

[email protected]

CS 1.8.0.0
пример зашифрованного файла:
branding.xml[[email protected]][2094653670-1579267651].whv
известные почты:

[email protected]
[email protected]
[email protected]

CryLock 1.9.0.0

Опознан как

sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[[email protected]][special].[10ABB6A7-867BCEF7]

известные почты:

[email protected]
[email protected]
[email protected]

[ Как создать образ автозапуска? ]

Ответы

Пред. 1 2 3 4 5 След.

Сообщений: 2

Баллов: 1

Регистрация: 10.03.2021

Размещено 10.03.2021 14:50:24

Добрый день, уважаемый администратор.
Видел эту тему по crylock
Удалось ли расшифровать файлы?Тема так и открыта.Сможете ли помочь?
Фото деток главное зашифровали.
Файл здесь (не загрузился)

https://dropmefiles.com/62ob5

спасибо. заранее

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.03.2021 14:51:19

добавьте образ автозапуска из зашифрованной системы

с расшифровкой пока не сможем помочь. по этой версии CryLock нет расшифровки ({EDBB1B0C-BE08EBC7}{2.0.0.0}),
возможно будет в будущем, поэтому сохраните все важные зашифрованные файлы на будущее.

(расшифровка по CryLock есть только по версиям 1.9.0.0 и некоторым ниже)

сможем помочь с анализом и очисткой системы от файлов шифратора

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 10.03.2021

Размещено 10.03.2021 15:07:41

Спасибо, думаю. Заморозить полностью системный блок. Так как вынужден буду ждать дешифратор.
Убрать вирус можно, но файлы главное расшифровать. Образ скину. Спасибо.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.03.2021 15:17:42

хорошо, ждем образ автозапуска,

расшифровку ждать придется возможно долго.
иногда дешифровка появляется в теч нескольких лет,
(когда злоумышленники сливают приватные ключи от старых версий.)

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 30.03.2021

Размещено 30.03.2021 06:38:52

Атаковал пользователя вирус шифровальщика, а затем уже и сетевые ресурсы и все расшаренные папки компании, сервер. Зашифрованные файлы прикладываю.
Так же прикладываю форму, по которой злоумышленники вымогают деньги.

Прикрепленные файлы

Фото вируса.jpeg (124.69 КБ)

файлы зашифровки.rar (159.6 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 30.03.2021 16:49:38

CryLock/v{2.0.0.0}

добавьте образ автозапуска системы для проверки системы
http://forum.esetnod32.ru/forum9/topic2687/
+
лог ESETlogcollector
https://forum.esetnod32.ru/forum9/topic10671/

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 06.07.2021

Размещено 06.07.2021 12:39:06

Добрый день, столкнулся с такой же проблемой, CryLock/v{2.0.0.0} - кто знает как победить проблему, расшифровать файлы, количество от 1 Гб до 20, в зависимости от того насколько это сложно, есть просто пара файлов очень нужных.
Может ли кто помочь за соответствующую оплату, спасибо
Несколько зараженных файлов здесь
https://disk.yandex.ru/d/fhpQ2GoaE8FRcQ

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 06.07.2021 17:08:33

Цитата
Павел Михайловский написал: Добрый день, столкнулся с такой же проблемой, CryLock/v{2.0.0.0} - кто знает как победить проблему, расшифровать файлы, количество от 1 Гб до 20, в зависимости от того насколько это сложно, есть просто пара файлов очень нужных. Может ли кто помочь за соответствующую оплату, спасибо Несколько зараженных файлов здесь https://disk.yandex.ru/d/fhpQ2GoaE8FRcQ

Цитата

Павел Михайловский написал:
Добрый день, столкнулся с такой же проблемой, CryLock/v{2.0.0.0} - кто знает как победить проблему, расшифровать файлы, количество от 1 Гб до 20, в зависимости от того насколько это сложно, есть просто пара файлов очень нужных.
Может ли кто помочь за соответствующую оплату, спасибо
Несколько зараженных файлов здесь
https://disk.yandex.ru/d/fhpQ2GoaE8FRcQ

да, версия CryLock/v{2.0.0.0}, на текущий момент без расшифровки.
сделайте в зараженной системе лог ESETlogcollector, чтобы по возможности получить доп информацию, по тому каким образом злоумышленники проникли в сеть
https://forum.esetnod32.ru/forum9/topic10671/
+
если система еще не очищена, добавьте образ автозапуска системы в uVS

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 20.10.2021

Размещено 20.10.2021 11:48:25

https://cloud.mail.ru/public/1QHL/3xDkyHNFg
Ссылка на архив с файлами шифрованными и не шифрованными. Просьба помочь с расшифровкой.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.10.2021 16:02:24

Цитата
Ярослав Глушко написал: https://cloud.mail.ru/public/1QHL/3xDkyHNFg Ссылка на архив с файлами шифрованными и не шифрованными. Просьба помочь с расшифровкой.

проверьте архив с файлами. скачивается файл размером 0 байт

[ Как создать образ автозапуска? ]

Пред. 1 2 3 4 5 След.