Первая информация о шифраторе Cryakl опубликована на securelist.ru в октябре 2014 года.
Цитата
В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:
- информацию о размере и расположении зашифрованных блоков, - MD5-хэши от оригинального файла и его заголовка, - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности, - ID жертвы, - оригинальное имя зашифрованного файла, - метку заражения {CRYPTENDBLACKDC}.
скорее всего, Cryakl известен с начала 2014 года
ранние версии: ver-4.0.0.0 пример зашифрованного файла: gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}[email protected]
пример зашифрованного файла: [email protected] 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@[email protected] видим, что закодированное имя перемещено в конец заголовка.
Добрый день, уважаемый администратор. Видел эту тему по crylock Удалось ли расшифровать файлы?Тема так и открыта.Сможете ли помочь? Фото деток главное зашифровали. Файл здесь (не загрузился)
добавьте образ автозапуска из зашифрованной системы
с расшифровкой пока не сможем помочь. по этой версии CryLock нет расшифровки ({EDBB1B0C-BE08EBC7}{2.0.0.0}), возможно будет в будущем, поэтому сохраните все важные зашифрованные файлы на будущее.
(расшифровка по CryLock есть только по версиям 1.9.0.0 и некоторым ниже)
сможем помочь с анализом и очисткой системы от файлов шифратора
Спасибо, думаю. Заморозить полностью системный блок. Так как вынужден буду ждать дешифратор. Убрать вирус можно, но файлы главное расшифровать. Образ скину. Спасибо.
расшифровку ждать придется возможно долго. иногда дешифровка появляется в теч нескольких лет, (когда злоумышленники сливают приватные ключи от старых версий.)
Атаковал пользователя вирус шифровальщика, а затем уже и сетевые ресурсы и все расшаренные папки компании, сервер. Зашифрованные файлы прикладываю. Так же прикладываю форму, по которой злоумышленники вымогают деньги.
Добрый день, столкнулся с такой же проблемой, CryLock/v{2.0.0.0} - кто знает как победить проблему, расшифровать файлы, количество от 1 Гб до 20, в зависимости от того насколько это сложно, есть просто пара файлов очень нужных. Может ли кто помочь за соответствующую оплату, спасибо Несколько зараженных файлов здесь https://disk.yandex.ru/d/fhpQ2GoaE8FRcQ
Павел Михайловский написал: Добрый день, столкнулся с такой же проблемой, CryLock/v{2.0.0.0} - кто знает как победить проблему, расшифровать файлы, количество от 1 Гб до 20, в зависимости от того насколько это сложно, есть просто пара файлов очень нужных. Может ли кто помочь за соответствующую оплату, спасибо Несколько зараженных файлов здесь https://disk.yandex.ru/d/fhpQ2GoaE8FRcQ
да, версия CryLock/v{2.0.0.0}, на текущий момент без расшифровки. сделайте в зараженной системе лог ESETlogcollector, чтобы по возможности получить доп информацию, по тому каким образом злоумышленники проникли в сеть https://forum.esetnod32.ru/forum9/topic10671/ + если система еще не очищена, добавьте образ автозапуска системы в uVS