Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Cryakl/CryLock - этапы "большого пути"

RSS
 
santy
santy
Администратор
Сообщений: 17792
Баллов: 14233
Регистрация: 16.03.2010
Размещено 31.03.2020 10:14:46
Первая информация о шифраторе Cryakl опубликована на securelist.ru в октябре 2014 года.

 
Цитата
В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

   - информацию о размере и расположении зашифрованных блоков,
   - MD5-хэши от оригинального файла и его заголовка,
   - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
   - ID жертвы,
   - оригинальное имя зашифрованного файла,
   - метку заражения {CRYPTENDBLACKDC}.


скорее всего, Cryakl известен с начала 2014 года

ранние версии:
ver-4.0.0.0
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 [email protected]@508370589}[email protected]

известные почты:

  [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]


примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

ver-6.1.0.0
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 [email protected]@168550646}[email protected]

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]

возможно, их гораздо больше
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

ver-8.0.0.0
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 [email protected]@155029625}[email protected]

известные почты:

[email protected]
   [email protected]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

ver-CL 0.0.1.0

пример зашифрованного файла:
[email protected] 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 [email protected]@548191739.randomname-DJNRWAEJNQUYBFJNRVYCGKOSWZDHLP.TXB.cbf

известные почты:

  [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

ver-CL 1.0.0.0

пример зашифрованного файла:
[email protected] 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 [email protected]@284834316.randomname-HGCVMANYIQXEKPUXBDGIKMNPQRSTTU.UUV.cbf
видим, что закодированное имя перемещено в конец заголовка.

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
    [email protected]
    [email protected]
    email- [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

ver-CL 1.0.0.0u

пример зашифрованного файла:


известные почты:

   [email protected]
   [email protected]_graf1
   [email protected]_mod
   [email protected]_mod2


ver-CL 1.1.0.0

пример зашифрованного файла:
[email protected] 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 [email protected]@447462257.randomname-MSYEKQWBHMSXDJPTZFLQWCHMSYDJPU.AGM.cbf
известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

ver-CL 1.2.0.0

пример зашифрованного файла:
[email protected] 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 [email protected]@497267438.randomname-HOUASYEKQWDIOUAGMSZEKRWCJOUAGN.SZF.cbf

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   ! [email protected]
   [email protected]
   [email protected]
   [email protected] aol.com

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

ver-CL 1.3.0.0
пример зашифрованного файла:
[email protected] 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 [email protected]@033014428.randomname-AKPUUAFKPUZEINSXCHMRWAFKPUZDIN.TXC.cbf
известные почты:

   [email protected]
   [email protected]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

ver-CL 1.3.1.0

пример зашифрованного файла:

известные почты:

   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   em[email protected]
   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)

пример зашифрованного файла:

   [email protected] 1.4.0.0.id-3908370012-23.03.2018 [email protected]@539726651.fname-Правила поведения вахтеров.jpg.fairytail

известные почты:

    [email protected]
   [email protected]

примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

doubleoffset (CL 1.5.1.0)

пример зашифрованного файла:
[email protected] 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

[email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

CS 1.6.0.0

пример зашифрованного файла:

известные почты:

   [email protected]
   [email protected]
   [email protected]

CS 1.7.0.1
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][[email protected]].git
известные почты:

   [email protected]

CS 1.8.0.0
пример зашифрованного файла:
branding.xml[[email protected]][2094653670-1579267651].whv
известные почты:

   [email protected]
   [email protected]
   [email protected]

CryLock 1.9.0.0

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[[email protected]][special].[10ABB6A7-867BCEF7]

известные почты:
   
[email protected]
   [email protected]
   [email protected]
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 2 3 4 5 След.
 
Роман Филиппов
Роман Филиппов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 10.03.2021
Размещено 10.03.2021 14:50:24
Добрый день, уважаемый администратор.
Видел эту тему по crylock
Удалось ли расшифровать файлы?Тема так и открыта.Сможете ли помочь?
Фото деток главное зашифровали.
Файл здесь (не загрузился)

https://dropmefiles.com/62ob5


спасибо. заранее
 
santy
santy
Администратор
Сообщений: 17792
Баллов: 14233
Регистрация: 16.03.2010
Размещено 10.03.2021 14:51:19
добавьте образ автозапуска из зашифрованной системы

с расшифровкой пока не сможем помочь. по этой версии CryLock нет расшифровки ({EDBB1B0C-BE08EBC7}{2.0.0.0}),
возможно будет в будущем, поэтому сохраните все важные зашифрованные файлы на будущее.

(расшифровка по CryLock есть только по версиям 1.9.0.0 и некоторым ниже)

сможем помочь с анализом и очисткой системы от файлов шифратора
[ Как создать образ автозапуска? ]
 
Роман Филиппов
Роман Филиппов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 10.03.2021
Размещено 10.03.2021 15:07:41
Спасибо, думаю. Заморозить полностью системный блок. Так как вынужден буду ждать дешифратор.
Убрать вирус можно, но файлы главное расшифровать. Образ скину. Спасибо.
 
santy
santy
Администратор
Сообщений: 17792
Баллов: 14233
Регистрация: 16.03.2010
Размещено 10.03.2021 15:17:42
хорошо, ждем образ автозапуска,

расшифровку ждать придется возможно долго.
иногда дешифровка появляется в теч нескольких лет,
(когда злоумышленники сливают приватные ключи от старых версий.)
[ Как создать образ автозапуска? ]
 
Евгений Елёхин
Евгений Елёхин
Пользователь
Сообщений: 1
Регистрация: 30.03.2021
Размещено 30.03.2021 06:38:52
Атаковал пользователя вирус шифровальщика, а затем уже и сетевые ресурсы и все расшаренные папки компании, сервер. Зашифрованные файлы прикладываю.
Так же прикладываю форму, по которой злоумышленники вымогают деньги.  
 
santy
santy
Администратор
Сообщений: 17792
Баллов: 14233
Регистрация: 16.03.2010
Размещено 30.03.2021 16:49:38
CryLock/v{2.0.0.0}

добавьте образ автозапуска системы для проверки системы
http://forum.esetnod32.ru/forum9/topic2687/
+
лог ESETlogcollector
https://forum.esetnod32.ru/forum9/topic10671/
[ Как создать образ автозапуска? ]
 
Павел Михайловский
Павел Михайловский
Пользователь
Сообщений: 1
Регистрация: 06.07.2021
Размещено 06.07.2021 12:39:06
Добрый день, столкнулся с такой же проблемой, CryLock/v{2.0.0.0} - кто знает как победить проблему, расшифровать файлы, количество от 1 Гб до 20, в зависимости от того насколько это сложно, есть просто пара файлов очень нужных.
Может ли кто помочь за соответствующую оплату, спасибо
Несколько зараженных файлов здесь
https://disk.yandex.ru/d/fhpQ2GoaE8FRcQ
 
santy
santy
Администратор
Сообщений: 17792
Баллов: 14233
Регистрация: 16.03.2010
Размещено 06.07.2021 17:08:33
Цитата
Павел Михайловский написал:
Добрый день, столкнулся с такой же проблемой, CryLock/v{2.0.0.0} - кто знает как победить проблему, расшифровать файлы, количество от 1 Гб до 20, в зависимости от того насколько это сложно, есть просто пара файлов очень нужных.
Может ли кто помочь за соответствующую оплату, спасибо
Несколько зараженных файлов здесь
https://disk.yandex.ru/d/fhpQ2GoaE8FRcQ
да, версия CryLock/v{2.0.0.0}, на текущий момент без расшифровки.
сделайте в зараженной системе лог  ESETlogcollector, чтобы по возможности получить доп информацию, по тому каким образом злоумышленники проникли в сеть
https://forum.esetnod32.ru/forum9/topic10671/
+
если система еще не очищена, добавьте образ автозапуска системы в uVS
[ Как создать образ автозапуска? ]
 
Ярослав Глушко
Ярослав Глушко
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 20.10.2021
Размещено 20.10.2021 11:48:25
https://cloud.mail.ru/public/1QHL/3xDkyHNFg
Ссылка на архив с файлами шифрованными и не шифрованными. Просьба помочь с расшифровкой.
 
santy
santy
Администратор
Сообщений: 17792
Баллов: 14233
Регистрация: 16.03.2010
Размещено 20.10.2021 16:02:24
Цитата
Ярослав Глушко написал:
https://cloud.mail.ru/public/1QHL/3xDkyHNFg
Ссылка на архив с файлами шифрованными и не шифрованными. Просьба помочь с расшифровкой.

проверьте архив с файлами. скачивается файл размером 0 байт
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4 5 След.
Читают тему (гостей: 1)