Cryakl/CryLock - этапы "большого пути"

Первая информация о шифраторе Cryakl опубликована на securelist.ru в октябре 2014 года.

 

Цитата

В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:    - информацию о размере и расположении зашифрованных блоков,    - MD5-хэши от оригинального файла и его заголовка,    - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,    - ID жертвы,    - оригинальное имя зашифрованного файла,    - метку заражения {CRYPTENDBLACKDC}.

скорее всего, Cryakl известен с начала 2014 года

ранние версии:
ver-4.0.0.0
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 [email protected]@508370589}[email protected]

известные почты:

  [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]


примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

ver-6.1.0.0
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 [email protected]@168550646}[email protected]

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]

возможно, их гораздо больше
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

ver-8.0.0.0
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 [email protected]@155029625}[email protected]

известные почты:

[email protected]
   [email protected]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

ver-CL 0.0.1.0

пример зашифрованного файла:
[email protected] 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 [email protected]@548191739.randomname-DJNRWAEJNQUYBFJNRVYCGKOSWZDHLP.TXB.cbf

известные почты:

  [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

ver-CL 1.0.0.0

пример зашифрованного файла:
[email protected] 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 [email protected]@284834316.randomname-HGCVMANYIQXEKPUXBDGIKMNPQRSTTU.UUV.cbf
видим, что закодированное имя перемещено в конец заголовка.

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
    [email protected]
    [email protected]
    email- [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

ver-CL 1.0.0.0u

пример зашифрованного файла:


известные почты:

   [email protected]
   [email protected]_graf1
   [email protected]_mod
   [email protected]_mod2


ver-CL 1.1.0.0

пример зашифрованного файла:
[email protected] 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 [email protected]@447462257.randomname-MSYEKQWBHMSXDJPTZFLQWCHMSYDJPU.AGM.cbf
известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

ver-CL 1.2.0.0

пример зашифрованного файла:
[email protected] 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 [email protected]@497267438.randomname-HOUASYEKQWDIOUAGMSZEKRWCJOUAGN.SZF.cbf

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   ! [email protected]
   [email protected]
   [email protected]
   [email protected] aol.com

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

ver-CL 1.3.0.0
пример зашифрованного файла:
[email protected] 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 [email protected]@033014428.randomname-AKPUUAFKPUZEINSXCHMRWAFKPUZDIN.TXC.cbf
известные почты:

   [email protected]
   [email protected]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

ver-CL 1.3.1.0

пример зашифрованного файла:

известные почты:

   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)

пример зашифрованного файла:

   [email protected] 1.4.0.0.id-3908370012-23.03.2018 [email protected]@539726651.fname-Правила поведения вахтеров.jpg.fairytail

известные почты:

    [email protected]
   [email protected]

примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

doubleoffset (CL 1.5.1.0)

пример зашифрованного файла:
[email protected] 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

[email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

CS 1.6.0.0

пример зашифрованного файла:

известные почты:

   [email protected]
   [email protected]
   [email protected]

CS 1.7.0.1
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][[email protected]].git
известные почты:

   [email protected]

CS 1.8.0.0
пример зашифрованного файла:
branding.xml[[email protected]][2094653670-1579267651].whv
известные почты:

   [email protected]
   [email protected]
   [email protected]

CryLock 1.9.0.0

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[[email protected]][special].[10ABB6A7-867BCEF7]

известные почты:
   
[email protected]
   [email protected]
   [email protected]

Здравствуйте,

значит, что делать в такой ситуации,
как я понял, у пользователя учетные данные были  скомпрометированы,
потом,
подключились под ограниченными правами данного пользователя с правами пользователь,
загрузили файлы,
и произвели блокировку его рабочего стола.

Теперь файлы, к которым имел пользователь доступ,
они зашифровались, я так понял по информации файлов,
это: вирус шифровальщик "CryLock" или "CryLock Ransomware"со следующими эл.адресом [email protected],
который не все файлы смог шифрануть, но часть шифрованную и оставил такую надпись "[[email protected]][sel4ru].[3E2730A7-21C21601]",
и некоторые файлы имеют  с расширение .cfl

Я как авторизированный пользователь корпоративного антивируса,
могу получить рекомендации по данному вирусу?

так как есть предложенные варианты, другого антивируса решения, но на сколько он  действительны они не известны мне на данный момент.

Я сейчас произвел копию автономной машины, чтобы её выгрузить в виртуальному машину и при помощи снимков (snapshot) проводить тест на восстановление файлов,
с учетом того, что при не корректных действий, я могу вернутся назад в исходному состоянию и проверить снова.

Вирус шифровщик вымогатель именую себя файлом и наименованием как "Desktop locker" - которая запущена на экране и просит вести пароль.
При вводе тестового пароль, он сразу сообщает, что сколько попыток мне осталось до ? "не известного состояния".

Найденных в описаниях в сети, написано что "CryLock" это следующим типом или программистом Cryakl и его решение.

Как можно решить вопрос с дешифрации с помощью специалистов eset?

1. что вам нужно сделать. чтобы обойти блокировку. пробуйте загрузиться в систему из безопасного режима и создать образ автозапуска из зашифрованной системы.
нам необходимо убрать тело шифратора из автозапуска и снять блокировку рабочего стола. предполагаем что блокировки не должно быть в безопасном режиме.

2. нам будет нужен зашифрованный файл, чтобы определить версию Crylock, чтобы определить возможность расшифровки файлов на текущий момент.

3. поскольку атака было из под ограниченной учетки с ваших слов, то возможно уцелели теневые копии, из которых возможно восстановление защифрованных файлов с системного диска.

4. еще запросим доп логи, чтобы исследовать развитие атаки, а так же нужен будет полный архив со всеми файлами ,которые указаны на скриншоте (т.е. все  инструменты, который использовал злоумышленник для взлома и шифрования вашей системы)

Я так понял  криптографии это версия 2.0, искал в сети ничего не нашел. Ну мне не так страшно, два дня потеряно, завтра будут в ручную восстанавливать. Копию p2v сделай и могу там тестить на дешифровку, так как большинство так не делают, что очень необходимо. Так как исходная система будет в начальном состоянии . Удалённых файлов не было, он ничего не удалял в корзину злоумышленник

все же сделайте, по пунктам 1, 2, 3, 4. в этом случае мы поможем вам быстрее найти решение,  если оно есть на текущий момент
из списка файлов sel4ru - это исходный файл шифратора, который был запущен. остальные файлы - вспомогательные, для сканирования дрругих компьютеров в лок сети и проникновения на другие компы

Да, дело в том, что все включено было, и зашифровался только один пользователь и доступ к чему имел, а все остальное осталось живым и не нетронутым. Ну я не стал рисковать, новую ОС поднял, и ИБ с 2х дневней потерей загружу и все. Просто это атака была, ip адреса есть откуда происходит и она происходит ежеминутно, кто то крутит пытается, или по почте отправили пользователю. Но если по почте отправили бы, то ПК пользователя тоже бы вируснулся, это один момент, что крутят удалённо с разных IP. Просто это связано с тем, что имеется еще SIP телефония на этом IP, и сразу где телефония там и другие порты сканят. Самое интересно, что не крутили они роль Администратора, а забрутили пользователя. Если ли сканеры, которые могут видеть больше? Чем открытые порты?

в таком случае все интересно. хэш пользователя, из под которого был запуск шифратора, журналы событий из зашифрованной системы, они наверняка не были удалены,, если не было административных прав, +  логи маршрутизатора, если было настроено логирование критических событий, и все что перечислено по пунктам 1,2,3, 4, тогда можно высказаться с большей определенностью

Образ есть, все выташить можно, это какие зловреды, в не обди были)) время захода, 2 саса они сидели ждать пока отскаеируется или пытались в сети крутить другие сервера, потом через 2 часа вышли. А зашли в 00.21, а шифрование запустили в 00.23 минуты ночи. Эти вирус шифраторы, с ними Win10 Pro лицензия, хорошо борется, а с пользователем не повезло.

если не смогли получить админские права, значит не смогли бы отключить антивирусные программы, если они были установлены. Crylock должен был дететктироваться при запуске шифрования. так что ждем образ автозапуска системы, можно из безопасного режима. чтобы разглядеть ваш случай повнимательнее. тем более, что у вас снят виртуальный образ с компутера. можно внимательно изучить атаку.

I love ESET всегда, но был бы рад помощи.