Cryakl/CryLock - этапы "большого пути"

RSS
Первая информация о шифраторе Cryakl опубликована на securelist.ru в октябре 2014 года.

 
Цитата
В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

   - информацию о размере и расположении зашифрованных блоков,
   - MD5-хэши от оригинального файла и его заголовка,
   - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
   - ID жертвы,
   - оригинальное имя зашифрованного файла,
   - метку заражения {CRYPTENDBLACKDC}.


скорее всего, Cryakl известен с начала 2014 года

ранние версии:
ver-4.0.0.0
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf

известные почты:

  email-masfantomas@aol.com
   email-HELPFILEDESKRIPT111@GMAIL.COM
   email-helpdecrypt@gmail.com
   email-helpdecrypt123@gmail.com
   email-deskripshen1c@gmail.com
   email-deskr1000@gmail.com
   email-mserbinov@onionmail.in
   email-vernutfiles@gmail.com
   email-base1c1c1c@gmail.com



примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

ver-6.1.0.0
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 11@22@168550646}-email-moshiax@aol.com-ver-6.1.0.0.b.cbf

известные почты:

   email-moshiax@aol.com
   email-mserbinov@aol.com
   email-watnik91@aol.com
   email-vpupkin3@aol.com


возможно, их гораздо больше
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

ver-8.0.0.0
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 12@49@155029625}-email-moshiax@aol.com-ver-8.0.0.0.cbf

известные почты:

email-moshiax@aol.com
   email-watnik91@aol.com


примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

ver-CL 0.0.1.0

пример зашифрованного файла:
email-mserbinov@aol.com.ver-CL 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 23@58@548191739.randomname-DJNRWAEJNQUYBFJNRVYCGKOSWZDHLP.TXB.cbf

известные почты:

  email-mserbinov@aol.com
   d_madre@aol.com
   trojanencoder@aol.com
   iizomer@aol.com


примеры автозапуска в системе:

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

ver-CL 1.0.0.0

пример зашифрованного файла:
email-cryptolocker@aol.com.ver-CL 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@36@284834316.randomname-HGCVMANYIQXEKPUXBDGIKMNPQRSTTU.UUV.cbf
видим, что закодированное имя перемещено в конец заголовка.

известные почты:

   email-gerkaman@aol.com
   email-Seven_Legion2@aol.com
   email-gcaesar2@aol.com
   email-Igor_svetlov2@aol.com
    email-ninja.gaiver@aol.com
    email-bekameka777@aol.com
    email- last.centurion@aol.com
    email-a_princ@aol.com
    email-Cryptolocker@aol.com
    email-ivanov34@aol.com
    email-vpupkin3@aol.com
    email-oduvansh@aol.com
    email-trojanencoder@aol.com
    email-iizomer@aol.com
    email-moshiax@aol.com
    email-load180@aol.com
    email-watnik91@aol.com


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

ver-CL 1.0.0.0u

пример зашифрованного файла:


известные почты:

   email-iizomer@aol.com
   email-cryptolocker@aol.com_graf1
   email-cryptolocker@aol.com_mod
   email-byaki_buki@aol.com_mod2



ver-CL 1.1.0.0

пример зашифрованного файла:
email-eric.decoder10@gmail.com.ver-CL 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 14@39@447462257.randomname-MSYEKQWBHMSXDJPTZFLQWCHMSYDJPU.AGM.cbf
известные почты:

   email-hontekilla@india.com
   email-gerkaman@aol.com
   email-oduvansh@aol.com
   eric.decoder10@gmail.com
   email-trojanencoder@aol.com
   email-watnik91@aol.com
   seven_legin2@aol.com
   email-obamausa7@aol.com
   email-gcaesar2@aol.com


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

ver-CL 1.2.0.0

пример зашифрованного файла:
email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 17@04@497267438.randomname-HOUASYEKQWDIOUAGMSZEKRWCJOUAGN.SZF.cbf

известные почты:

   email-anton_ivanov34@aol.com
   email-trojanencoder@aol.com
   email-iizomer@aol.com
   email-ivan_fedorov16@aol.com
   !email-cryptoloker@aol.com
   email-zed.zorro1@aol.com
   email-fedor_pavlov13@yahoo.com
   email-agent.vayne@india.com
   email-moshiax@aol.com
   ! email-oduvansh@aol.com
   email-gcaesar2@aol.com
   email-crypt.cryptor@aol.com
   email-age_empires@ aol.com


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

ver-CL 1.3.0.0
пример зашифрованного файла:
email-moshiax@aol.com.ver-CL 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 20@08@033014428.randomname-AKPUUAFKPUZEINSXCHMRWAFKPUZDIN.TXC.cbf
известные почты:

   email-moshiax@aol.com
   cryptolocker@aol.com


примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

ver-CL 1.3.1.0

пример зашифрованного файла:

известные почты:

   byaki_buki@aol.com_grafdrkula@gmail.com
   email-byaki_buki@aol.com
   email-iizomer@aol.com
   email-crypthelp@qq.com
   email-tapok@tuta.io
   email-iizomer.iizomer@yandex.ru_iizomer@aol.com
   email-v_pupkin@aol.com
   email-mortalis_certamen@aol.com
   email-salazar_slytherin10@yahoo.com
   email-200usd@india.com
   email-eugene_danilov@yahoo.com

   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)

пример зашифрованного файла:

   email-blackdragon43@yahoo.com.ver-CL 1.4.0.0.id-3908370012-23.03.2018 10@01@539726651.fname-Правила поведения вахтеров.jpg.fairytail

известные почты:

    email-blackdragon43@yahoo.com
   email-hola@all-ransomware.info


примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

doubleoffset (CL 1.5.1.0)

пример зашифрованного файла:
email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

email-3nity@tuta.io
   email-butterfly.iron@aol.com
   email-n_nightmare@yahoo.com
   email-vally@x-mail.pro
   email-blackdragon43@yahoo.com
   email-dorispackman@tuta.io
   email-hola@all-ransomware.info
   email-coolguay@tutanota.com
   email-biger@x-mail.pro
   email-tapok@tuta.io
   email-komar@tuta.io


примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

CS 1.6.0.0

пример зашифрованного файла:

известные почты:

   email-sugarman@tutamail.com
   email-3nity@tuta.io
   email-mr.yoba@aol.com


CS 1.7.0.1
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][opensafezona@protonmail.com].git
известные почты:

   opensafezona@protonmail.com

CS 1.8.0.0
пример зашифрованного файла:
branding.xml[grand@horsefucker.org][2094653670-1579267651].whv
известные почты:

   graff_de_malfet@protonmail.ch
   grand@horsefucker.org
   tomascry@protonmail.com


CryLock 1.9.0.0

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[reddragon3335799@protonmail.ch][special].[10ABB6A7-867BCEF7]

известные почты:
   
reddragon3335799@protonmail.ch
   graff_de_malfet@protonmail.ch
   coronovirus@protonmail.com

Ответы

Добрый день, уважаемый администратор.
Видел эту тему по crylock
Удалось ли расшифровать файлы?Тема так и открыта.Сможете ли помочь?
Фото деток главное зашифровали.
Файл здесь (не загрузился)

https://dropmefiles.com/62ob5


спасибо. заранее
добавьте образ автозапуска из зашифрованной системы

с расшифровкой пока не сможем помочь. по этой версии CryLock нет расшифровки ({EDBB1B0C-BE08EBC7}{2.0.0.0}),
возможно будет в будущем, поэтому сохраните все важные зашифрованные файлы на будущее.

(расшифровка по CryLock есть только по версиям 1.9.0.0 и некоторым ниже)

сможем помочь с анализом и очисткой системы от файлов шифратора
Спасибо, думаю. Заморозить полностью системный блок. Так как вынужден буду ждать дешифратор.
Убрать вирус можно, но файлы главное расшифровать. Образ скину. Спасибо.
хорошо, ждем образ автозапуска,

расшифровку ждать придется возможно долго.
иногда дешифровка появляется в теч нескольких лет,
(когда злоумышленники сливают приватные ключи от старых версий.)
Атаковал пользователя вирус шифровальщика, а затем уже и сетевые ресурсы и все расшаренные папки компании, сервер. Зашифрованные файлы прикладываю.
Так же прикладываю форму, по которой злоумышленники вымогают деньги.  
CryLock/v{2.0.0.0}

добавьте образ автозапуска системы для проверки системы
http://forum.esetnod32.ru/forum9/topic2687/
+
лог ESETlogcollector
https://forum.esetnod32.ru/forum9/topic10671/
Читают тему (гостей: 2)