Cryakl/CryLock - этапы "большого пути"

RSS
Первая информация о шифраторе Cryakl опубликована на securelist.ru в октябре 2014 года.

 
Цитата
В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

   - информацию о размере и расположении зашифрованных блоков,
   - MD5-хэши от оригинального файла и его заголовка,
   - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
   - ID жертвы,
   - оригинальное имя зашифрованного файла,
   - метку заражения {CRYPTENDBLACKDC}.


скорее всего, Cryakl известен с начала 2014 года

ранние версии:
ver-4.0.0.0
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf

известные почты:

  email-masfantomas@aol.com
   email-HELPFILEDESKRIPT111@GMAIL.COM
   email-helpdecrypt@gmail.com
   email-helpdecrypt123@gmail.com
   email-deskripshen1c@gmail.com
   email-deskr1000@gmail.com
   email-mserbinov@onionmail.in
   email-vernutfiles@gmail.com
   email-base1c1c1c@gmail.com



примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

ver-6.1.0.0
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 11@22@168550646}-email-moshiax@aol.com-ver-6.1.0.0.b.cbf

известные почты:

   email-moshiax@aol.com
   email-mserbinov@aol.com
   email-watnik91@aol.com
   email-vpupkin3@aol.com


возможно, их гораздо больше
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

ver-8.0.0.0
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 12@49@155029625}-email-moshiax@aol.com-ver-8.0.0.0.cbf

известные почты:

email-moshiax@aol.com
   email-watnik91@aol.com


примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

ver-CL 0.0.1.0

пример зашифрованного файла:
email-mserbinov@aol.com.ver-CL 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 23@58@548191739.randomname-DJNRWAEJNQUYBFJNRVYCGKOSWZDHLP.TXB.cbf

известные почты:

  email-mserbinov@aol.com
   d_madre@aol.com
   trojanencoder@aol.com
   iizomer@aol.com


примеры автозапуска в системе:

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

ver-CL 1.0.0.0

пример зашифрованного файла:
email-cryptolocker@aol.com.ver-CL 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@36@284834316.randomname-HGCVMANYIQXEKPUXBDGIKMNPQRSTTU.UUV.cbf
видим, что закодированное имя перемещено в конец заголовка.

известные почты:

   email-gerkaman@aol.com
   email-Seven_Legion2@aol.com
   email-gcaesar2@aol.com
   email-Igor_svetlov2@aol.com
    email-ninja.gaiver@aol.com
    email-bekameka777@aol.com
    email- last.centurion@aol.com
    email-a_princ@aol.com
    email-Cryptolocker@aol.com
    email-ivanov34@aol.com
    email-vpupkin3@aol.com
    email-oduvansh@aol.com
    email-trojanencoder@aol.com
    email-iizomer@aol.com
    email-moshiax@aol.com
    email-load180@aol.com
    email-watnik91@aol.com


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

ver-CL 1.0.0.0u

пример зашифрованного файла:


известные почты:

   email-iizomer@aol.com
   email-cryptolocker@aol.com_graf1
   email-cryptolocker@aol.com_mod
   email-byaki_buki@aol.com_mod2



ver-CL 1.1.0.0

пример зашифрованного файла:
email-eric.decoder10@gmail.com.ver-CL 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 14@39@447462257.randomname-MSYEKQWBHMSXDJPTZFLQWCHMSYDJPU.AGM.cbf
известные почты:

   email-hontekilla@india.com
   email-gerkaman@aol.com
   email-oduvansh@aol.com
   eric.decoder10@gmail.com
   email-trojanencoder@aol.com
   email-watnik91@aol.com
   seven_legin2@aol.com
   email-obamausa7@aol.com
   email-gcaesar2@aol.com


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

ver-CL 1.2.0.0

пример зашифрованного файла:
email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 17@04@497267438.randomname-HOUASYEKQWDIOUAGMSZEKRWCJOUAGN.SZF.cbf

известные почты:

   email-anton_ivanov34@aol.com
   email-trojanencoder@aol.com
   email-iizomer@aol.com
   email-ivan_fedorov16@aol.com
   !email-cryptoloker@aol.com
   email-zed.zorro1@aol.com
   email-fedor_pavlov13@yahoo.com
   email-agent.vayne@india.com
   email-moshiax@aol.com
   ! email-oduvansh@aol.com
   email-gcaesar2@aol.com
   email-crypt.cryptor@aol.com
   email-age_empires@ aol.com


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

ver-CL 1.3.0.0
пример зашифрованного файла:
email-moshiax@aol.com.ver-CL 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 20@08@033014428.randomname-AKPUUAFKPUZEINSXCHMRWAFKPUZDIN.TXC.cbf
известные почты:

   email-moshiax@aol.com
   cryptolocker@aol.com


примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

ver-CL 1.3.1.0

пример зашифрованного файла:

известные почты:

   byaki_buki@aol.com_grafdrkula@gmail.com
   email-byaki_buki@aol.com
   email-iizomer@aol.com
   email-crypthelp@qq.com
   email-tapok@tuta.io
   email-iizomer.iizomer@yandex.ru_iizomer@aol.com
   email-v_pupkin@aol.com
   email-mortalis_certamen@aol.com
   email-salazar_slytherin10@yahoo.com
   email-200usd@india.com
   email-eugene_danilov@yahoo.com

   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)

пример зашифрованного файла:

   email-blackdragon43@yahoo.com.ver-CL 1.4.0.0.id-3908370012-23.03.2018 10@01@539726651.fname-Правила поведения вахтеров.jpg.fairytail

известные почты:

    email-blackdragon43@yahoo.com
   email-hola@all-ransomware.info


примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

doubleoffset (CL 1.5.1.0)

пример зашифрованного файла:
email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

email-3nity@tuta.io
   email-butterfly.iron@aol.com
   email-n_nightmare@yahoo.com
   email-vally@x-mail.pro
   email-blackdragon43@yahoo.com
   email-dorispackman@tuta.io
   email-hola@all-ransomware.info
   email-coolguay@tutanota.com
   email-biger@x-mail.pro
   email-tapok@tuta.io
   email-komar@tuta.io


примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

CS 1.6.0.0

пример зашифрованного файла:

известные почты:

   email-sugarman@tutamail.com
   email-3nity@tuta.io
   email-mr.yoba@aol.com


CS 1.7.0.1
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][opensafezona@protonmail.com].git
известные почты:

   opensafezona@protonmail.com

CS 1.8.0.0
пример зашифрованного файла:
branding.xml[grand@horsefucker.org][2094653670-1579267651].whv
известные почты:

   graff_de_malfet@protonmail.ch
   grand@horsefucker.org
   tomascry@protonmail.com


CryLock 1.9.0.0

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[reddragon3335799@protonmail.ch][special].[10ABB6A7-867BCEF7]

известные почты:
   
reddragon3335799@protonmail.ch
   graff_de_malfet@protonmail.ch
   coronovirus@protonmail.com

Ответы

Цитата
santy написал:
если не смогли получить админские права, значит не смогли бы отключить антивирусные программы, если они были установлены. Crylock должен был дететктироваться при запуске шифрования. так что ждем образ автозапуска системы, можно из безопасного режима. чтобы разглядеть ваш случай повнимательнее. тем более, что у вас снят виртуальный образ с компутера. можно внимательно изучить атаку.
да, согласен, но где БД 1с стоит, там не рекомендуется ставить антивирус, так как может повлиять отрицательно на работу.  
NS.EXE я загрузил его на вирустотал, и он определил 56 вирусов под разными названиями.  
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
http://forum.esetnod32.ru/forum9/topic2687/
Цитата
santy написал:
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
http://forum.esetnod32.ru/forum9/topic2687/
хорошо, я могу попробовать, только можете сказать, через виртуальную я сам не заражцсь?) Сетку сразу вс отключаю.
Цитата
alx bit написал:
Цитата
 santy  написал:
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
 http://forum.esetnod32.ru/forum9/topic2687/  
хорошо, я могу попробовать, только можете сказать, через виртуальную я сам не заражцсь?) Сетку сразу вс отключаю.
нет конечно, шифратор не должен запуститься из безопасного режима. если он еще остался в автозапуске.
Цитата
santy написал:
Цитата
 alx bit  написал:
Цитата
 santy  написал:
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
  http://forum.esetnod32.ru/forum9/topic2687/  
хорошо, я могу попробовать, только можете сказать, через виртуальную я сам не заражцсь?) Сетку сразу вс отключаю.
нет конечно, шифратор не должен запуститься из безопасного режима. если он еще остался в автозапуске.

да, он остался, я сразу образ снял p2v развернул, и через снэпшоты чтобы можно было тестить, что удалено было и.т.д.

зловвред не все файлы за шифровал, потому что-либо система ему не дала из за ограниченности или же он выборочно шифровал.

вирус я просто через другого пользователя зашел, вырезал и в папку в другую положил и он на том пользователе не запускается повторно.  
Прошу Вас посмотреть - данный архив,
в котором находится зашифрованный файл,
это получается файл ярлык.

Если будет результат дефивроки,
можете сообщить,
мои дальнейшие действия?
файл зашифрован версией Crylock 2.0.0.0
Цитата
{sel4ru}{3E2730A7-21C21601}{2.0.0.0}
по данной версии пока нет расшифровки. ждем образ автозапуска для анализа системы, и возможности получения системных журналов.

собственно, дубль темы:
https://forum.kasperskyclub.ru/topic/75009-crylock-ili-cryakl-crylock-ili-cryakl-za-shifroval-fajly-ogranichennogo-polzovatelja-puti-reshenija/

надеюсь, будет какой-то полезный результат по вашему обращению здесь
Возможно, поможет специалистам создать расшифровщик. Один из наших клиентов оплатил расшифровку. Зловреды сначала прислали утилиту сканирования на предмет поиска открытого ключа (в файле data.ini), затем закрытый ключ (key.txt) и утилиту расшифровки.
Выкладываю все это на гугл-диск
https://drive.google.com/drive/folders/1lsaWogU9x-1VWBjSnqZINmcG-Fpacddf?usp=sharing
Цитата
Ivan Mintsev написал:
Выкладываю все это на гугл-диск
доступ можете добавить?
+
залейте сюда же,
дешифратор, зашифрованный файл, ключ в оригинальном формате+ утилиту поиска ключа, лучше все это поместить в один файл, в архив.
Читают тему (гостей: 1)