Cryakl/CryLock - этапы "большого пути"

RSS
Первая информация о шифраторе Cryakl опубликована на securelist.ru в октябре 2014 года.

 
Цитата
В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

   - информацию о размере и расположении зашифрованных блоков,
   - MD5-хэши от оригинального файла и его заголовка,
   - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
   - ID жертвы,
   - оригинальное имя зашифрованного файла,
   - метку заражения {CRYPTENDBLACKDC}.


скорее всего, Cryakl известен с начала 2014 года

ранние версии:
ver-4.0.0.0
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 [email protected]@508370589}[email protected]

известные почты:

  [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]



примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

ver-6.1.0.0
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 [email protected]@168550646}[email protected]

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]


возможно, их гораздо больше
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

ver-8.0.0.0
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 [email protected]@155029625}[email protected]

известные почты:

[email protected]
   [email protected]


примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

ver-CL 0.0.1.0

пример зашифрованного файла:
[email protected] 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 [email protected]@548191739.randomname-DJNRWAEJNQUYBFJNRVYCGKOSWZDHLP.TXB.cbf

известные почты:

  [email protected]
   [email protected]
   [email protected]
   [email protected]


примеры автозапуска в системе:

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

ver-CL 1.0.0.0

пример зашифрованного файла:
[email protected] 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 [email protected]@284834316.randomname-HGCVMANYIQXEKPUXBDGIKMNPQRSTTU.UUV.cbf
видим, что закодированное имя перемещено в конец заголовка.

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
    [email protected]
    [email protected]
    email- [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]ol.com


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

ver-CL 1.0.0.0u

пример зашифрованного файла:


известные почты:

   [email protected]
   [email protected]_graf1
   [email protected]_mod
   [email protected]_mod2



ver-CL 1.1.0.0

пример зашифрованного файла:
[email protected] 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 [email protected]@447462257.randomname-MSYEKQWBHMSXDJPTZFLQWCHMSYDJPU.AGM.cbf
известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

ver-CL 1.2.0.0

пример зашифрованного файла:
[email protected] 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 [email protected]@497267438.randomname-HOUASYEKQWDIOUAGMSZEKRWCJOUAGN.SZF.cbf

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   ! [email protected]
   [email protected]
   [email protected]
   [email protected] aol.com


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

ver-CL 1.3.0.0
пример зашифрованного файла:
[email protected] 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 [email protected]@033014428.randomname-AKPUUAFKPUZEINSXCHMRWAFKPUZDIN.TXC.cbf
известные почты:

   [email protected]
   [email protected]


примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

ver-CL 1.3.1.0

пример зашифрованного файла:

известные почты:

   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][email protected]
   [email protected]
   email-mortali[email protected]
   [email protected]
   [email protected]
   [email protected]

   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)

пример зашифрованного файла:

   [email protected] 1.4.0.0.id-3908370012-23.03.2018 [email protected]@539726651.fname-Правила поведения вахтеров.jpg.fairytail

известные почты:

    [email protected]
   [email protected]


примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

doubleoffset (CL 1.5.1.0)

пример зашифрованного файла:
[email protected] 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

[email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]


примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

CS 1.6.0.0

пример зашифрованного файла:

известные почты:

   [email protected]
   [email protected]
   [email protected]


CS 1.7.0.1
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][[email protected]].git
известные почты:

   [email protected]

CS 1.8.0.0
пример зашифрованного файла:
branding.xml[[email protected]][2094653670-1579267651].whv
известные почты:

   [email protected]
   [email protected]
   [email protected]


CryLock 1.9.0.0

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[[email protected]][special].[10ABB6A7-867BCEF7]

известные почты:
   
[email protected]
   [email protected]
   [email protected]

Ответы

Добрый день, уважаемый администратор.
Видел эту тему по crylock
Удалось ли расшифровать файлы?Тема так и открыта.Сможете ли помочь?
Фото деток главное зашифровали.
Файл здесь (не загрузился)

https://dropmefiles.com/62ob5


спасибо. заранее
добавьте образ автозапуска из зашифрованной системы

с расшифровкой пока не сможем помочь. по этой версии CryLock нет расшифровки ({EDBB1B0C-BE08EBC7}{2.0.0.0}),
возможно будет в будущем, поэтому сохраните все важные зашифрованные файлы на будущее.

(расшифровка по CryLock есть только по версиям 1.9.0.0 и некоторым ниже)

сможем помочь с анализом и очисткой системы от файлов шифратора
Спасибо, думаю. Заморозить полностью системный блок. Так как вынужден буду ждать дешифратор.
Убрать вирус можно, но файлы главное расшифровать. Образ скину. Спасибо.
хорошо, ждем образ автозапуска,

расшифровку ждать придется возможно долго.
иногда дешифровка появляется в теч нескольких лет,
(когда злоумышленники сливают приватные ключи от старых версий.)
Атаковал пользователя вирус шифровальщика, а затем уже и сетевые ресурсы и все расшаренные папки компании, сервер. Зашифрованные файлы прикладываю.
Так же прикладываю форму, по которой злоумышленники вымогают деньги.  
CryLock/v{2.0.0.0}

добавьте образ автозапуска системы для проверки системы
http://forum.esetnod32.ru/forum9/topic2687/
+
лог ESETlogcollector
https://forum.esetnod32.ru/forum9/topic10671/
Добрый день, столкнулся с такой же проблемой, CryLock/v{2.0.0.0} - кто знает как победить проблему, расшифровать файлы, количество от 1 Гб до 20, в зависимости от того насколько это сложно, есть просто пара файлов очень нужных.
Может ли кто помочь за соответствующую оплату, спасибо
Несколько зараженных файлов здесь
https://disk.yandex.ru/d/fhpQ2GoaE8FRcQ
Цитата
Павел Михайловский написал:
Добрый день, столкнулся с такой же проблемой, CryLock/v{2.0.0.0} - кто знает как победить проблему, расшифровать файлы, количество от 1 Гб до 20, в зависимости от того насколько это сложно, есть просто пара файлов очень нужных.
Может ли кто помочь за соответствующую оплату, спасибо
Несколько зараженных файлов здесь
https://disk.yandex.ru/d/fhpQ2GoaE8FRcQ
да, версия CryLock/v{2.0.0.0}, на текущий момент без расшифровки.
сделайте в зараженной системе лог  ESETlogcollector, чтобы по возможности получить доп информацию, по тому каким образом злоумышленники проникли в сеть
https://forum.esetnod32.ru/forum9/topic10671/
+
если система еще не очищена, добавьте образ автозапуска системы в uVS
https://cloud.mail.ru/public/1QHL/3xDkyHNFg
Ссылка на архив с файлами шифрованными и не шифрованными. Просьба помочь с расшифровкой.
Цитата
Ярослав Глушко написал:
https://cloud.mail.ru/public/1QHL/3xDkyHNFg
Ссылка на архив с файлами шифрованными и не шифрованными. Просьба помочь с расшифровкой.

проверьте архив с файлами. скачивается файл размером 0 байт
Читают тему (гостей: 2)