Первая информация о шифраторе Cryakl опубликована на securelist.ru в октябре 2014 года.
Цитата
В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:
- информацию о размере и расположении зашифрованных блоков, - MD5-хэши от оригинального файла и его заголовка, - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности, - ID жертвы, - оригинальное имя зашифрованного файла, - метку заражения {CRYPTENDBLACKDC}.
скорее всего, Cryakl известен с начала 2014 года
ранние версии: ver-4.0.0.0 пример зашифрованного файла: gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}[email protected]
пример зашифрованного файла: [email protected] 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@[email protected] видим, что закодированное имя перемещено в конец заголовка.
Ярослав Глушко написал: Прощу прощения, загрузил сам файл, проверьте пожалуйста
версия {2.0.0.0} без расшифровки на текущий момент, если есть важные зашифрованные файлы, сохраните их на будущее, возможно в будущем расшифровка по данной версии станет доступной.
если необх помощь в очистке системы, добавьте образ автозапуска системы + добавьте логи EsetlogCollector для анализа путей возможного проникновения на ваш сервер или рабочую станцию https://forum.esetnod32.ru/forum9/topic10671/
Добрый день! Помогите с расшифровкой. Злоумышленник зашел по RDP подобрав пароль. Машина была выключена, зашифровано не до конца. snowdenV.7z - предположительно исполняемый файл шифровальщика. послание.7z - оставлено злоумышленником файлы.7z - зашифрованные файлы для примера Лицензия NOD32 имеется
Подскажите, есть же утилита шифрования которую получилось извлечь с машины snowdenV.exe, может есть возможность вытащить что-то оттуда. Я попробовал запустить её на изолированной машине, зашифровал выбранные файлы, в конце работы предлагает создать новые ключи, удалиться, выключить компьютер. Очень понятный UI. В автозагрузку не лезет, в общем без слова "фас" не работает.
CryLock в основном так и работает. (Есть образцы, которые грузятся в автозапуск). В вашем случае здесь - интерактивный инструмент. Взлом системы, отключение защиты, поиск в сети возможных целей для шифрования, затем само шифрование. В вирлабе есть подобные инструменты. на текущий момент расшифровка невозможна. Последняя возможная была 1.9.0.0
в сети уже встречаются версии Crylock 2.3.0.0
Если на текущий момент система очищена, добавьте образ автозапуска+ логи ESETlogCollector, +можно добавить логи FRST больше будет инфо для анализа.
На системе необх выполнить аудит, чтобы были установлены все важные обновления+ если есть доступ по RDP из внешней сети, разрешить доступ только с белых адресов.
Добрый день. Были зашифрованы файлы на ПК в локальной сети. Шифровальщик неизвестен, тело вируса не было найдено. (Шифровальщик [[email protected]]) В архивах записка с требованиями, оригинальный файл и его зашифрованная версия. Логов с зараженного ПК нет.
Это Filecoder.EQ/CryLock 2.0 {2.0.0.0}, на текущий момент нет возможности расшифровать Ваши файлы. Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем, расшифровка станет возможна.
Если необходима помощь в очистке системы, сделайте пожалуйста образ автозапуска системы в uVS на зашифрованном ПК как сделать, подробнее на нашем форуме https://forum.esetnod32.ru/forum9/topic2687/
рекомендуем сделать лог ESETSysVulnCheck для анализа уявимостей системы, которые могли стать причиной успешной атаки шифровальщика.
Скачайте специальную утилиту ESETSysVulnCheck по ссылке (скачивать необходимо в IE)
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.