Размещено 31.03.2020 10:14:46
Первая информация о шифраторе Cryakl опубликована на в октябре 2014 года.
скорее всего, Cryakl известен с начала 2014 года
ранние версии:
ver-4.0.0.0
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
известные почты:
email-masfantomas@aol.com
email-HELPFILEDESKRIPT111@GMAIL.COM
email-helpdecrypt@gmail.com
email-helpdecrypt123@gmail.com
email-deskripshen1c@gmail.com
email-deskr1000@gmail.com
email-mserbinov@onionmail.in
email-vernutfiles@gmail.com
email-base1c1c1c@gmail.com
примеры автозапуска в системе:
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma C:\Program Files\temp\WINRAR.EXE
ver-6.1.0.0
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 11@22@168550646}-email-moshiax@aol.com-ver-6.1.0.0.b.cbf
известные почты:
email-moshiax@aol.com
email-mserbinov@aol.com
email-watnik91@aol.com
email-vpupkin3@aol.com
возможно, их гораздо больше
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe
ver-8.0.0.0
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 12@49@155029625}-email-moshiax@aol.com-ver-8.0.0.0.cbf
известные почты:
email-moshiax@aol.com
email-watnik91@aol.com
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe
ver-CL 0.0.1.0
пример зашифрованного файла:
email-mserbinov@aol.com.ver-CL 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 23@58@548191739.randomname-DJNRWAEJNQUYBFJNRVYCGKOSWZDHLP.TXB.cbf
известные почты:
email-mserbinov@aol.com
d_madre@aol.com
trojanencoder@aol.com
iizomer@aol.com
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
C:\Program Files\monitor.exe
ver-CL 1.0.0.0
пример зашифрованного файла:
email-cryptolocker@aol.com.ver-CL 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@36@284834316.randomname-HGCVMANYIQXEKPUXBDGIKMNPQRSTTU.UUV.cbf
видим, что закодированное имя перемещено в конец заголовка.
известные почты:
email-gerkaman@aol.com
email-Seven_Legion2@aol.com
email-gcaesar2@aol.com
email-Igor_svetlov2@aol.com
email-ninja.gaiver@aol.com
email-bekameka777@aol.com
email- last.centurion@aol.com
email-a_princ@aol.com
email-Cryptolocker@aol.com
email-ivanov34@aol.com
email-vpupkin3@aol.com
email-oduvansh@aol.com
email-trojanencoder@aol.com
email-iizomer@aol.com
email-moshiax@aol.com
email-load180@aol.com
email-watnik91@aol.com
примеры автозапуска в системе:
ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
C:\Program Files\simpleinf.exe
ver-CL 1.0.0.0u
пример зашифрованного файла:
известные почты:
email-iizomer@aol.com
email-cryptolocker@aol.com_graf1
email-cryptolocker@aol.com_mod
email-byaki_buki@aol.com_mod2
ver-CL 1.1.0.0
пример зашифрованного файла:
email-eric.decoder10@gmail.com.ver-CL 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 14@39@447462257.randomname-MSYEKQWBHMSXDJPTZFLQWCHMSYDJPU.AGM.cbf
известные почты:
email-hontekilla@india.com
email-gerkaman@aol.com
email-oduvansh@aol.com
eric.decoder10@gmail.com
email-trojanencoder@aol.com
email-watnik91@aol.com
seven_legin2@aol.com
email-obamausa7@aol.com
email-gcaesar2@aol.com
примеры автозапуска в системе:
ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
C:\Program Files\1C\карточка предприятия.exe
ver-CL 1.2.0.0
пример зашифрованного файла:
email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 17@04@497267438.randomname-HOUASYEKQWDIOUAGMSZEKRWCJOUAGN.SZF.cbf
известные почты:
email-anton_ivanov34@aol.com
email-trojanencoder@aol.com
email-iizomer@aol.com
email-ivan_fedorov16@aol.com
!email-cryptoloker@aol.com
email-zed.zorro1@aol.com
email-fedor_pavlov13@yahoo.com
email-agent.vayne@india.com
email-moshiax@aol.com
! email-oduvansh@aol.com
email-gcaesar2@aol.com
email-crypt.cryptor@aol.com
email-age_empires@ aol.com
примеры автозапуска в системе:
ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
C:\Program Files\service.exe
ver-CL 1.3.0.0
пример зашифрованного файла:
email-moshiax@aol.com.ver-CL 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 20@08@033014428.randomname-AKPUUAFKPUZEINSXCHMRWAFKPUZDIN.TXC.cbf
известные почты:
email-moshiax@aol.com
cryptolocker@aol.com
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool
C:\Program Files\tr.exe
ver-CL 1.3.1.0
пример зашифрованного файла:
известные почты:
byaki_buki@aol.com_grafdrkula@gmail.com
email-byaki_buki@aol.com
email-iizomer@aol.com
email-crypthelp@qq.com
email-tapok@tuta.io
email-iizomer.iizomer@yandex.ru_iizomer@aol.com
email-v_pupkin@aol.com
email-mortalis_certamen@aol.com
email-salazar_slytherin10@yahoo.com
email-200usd@india.com
email-eugene_danilov@yahoo.com
...
примеры автозапуска в системе:
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
00F5-A4D1 C:\Program Files\WinRar\резюме.exe
fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)
пример зашифрованного файла:
email-blackdragon43@yahoo.com.ver-CL 1.4.0.0.id-3908370012-23.03.2018 10@01@539726651.fname-Правила поведения вахтеров.jpg.fairytail
известные почты:
email-blackdragon43@yahoo.com
email-hola@all-ransomware.info
примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\3908370012
C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe
doubleoffset (CL 1.5.1.0)
пример зашифрованного файла:
email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset
известные почты:
email-3nity@tuta.io
email-butterfly.iron@aol.com
email-n_nightmare@yahoo.com
email-vally@x-mail.pro
email-blackdragon43@yahoo.com
email-dorispackman@tuta.io
email-hola@all-ransomware.info
email-coolguay@tutanota.com
email-biger@x-mail.pro
email-tapok@tuta.io
email-komar@tuta.io
примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\1747396157
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe
CS 1.6.0.0
пример зашифрованного файла:
известные почты:
email-sugarman@tutamail.com
email-3nity@tuta.io
email-mr.yoba@aol.com
CS 1.7.0.1
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][opensafezona@protonmail.com].git
известные почты:
opensafezona@protonmail.com
CS 1.8.0.0
пример зашифрованного файла:
branding.xml[grand@horsefucker.org][2094653670-1579267651].whv
известные почты:
graff_de_malfet@protonmail.ch
grand@horsefucker.org
tomascry@protonmail.com
CryLock 1.9.0.0
Опознан как
sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D
пример зашифрованного файла:
VTS_01_0.BUP[reddragon3335799@protonmail.ch][special].[10ABB6A7-867BCEF7]
известные почты:
reddragon3335799@protonmail.ch
graff_de_malfet@protonmail.ch
coronovirus@protonmail.com
| Цитата |
|---|
| В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая: - информацию о размере и расположении зашифрованных блоков, - MD5-хэши от оригинального файла и его заголовка, - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности, - ID жертвы, - оригинальное имя зашифрованного файла, - метку заражения {CRYPTENDBLACKDC}. |
скорее всего, Cryakl известен с начала 2014 года
ранние версии:
ver-4.0.0.0
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
известные почты:
email-masfantomas@aol.com
email-HELPFILEDESKRIPT111@GMAIL.COM
email-helpdecrypt@gmail.com
email-helpdecrypt123@gmail.com
email-deskripshen1c@gmail.com
email-deskr1000@gmail.com
email-mserbinov@onionmail.in
email-vernutfiles@gmail.com
email-base1c1c1c@gmail.com
примеры автозапуска в системе:
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma C:\Program Files\temp\WINRAR.EXE
ver-6.1.0.0
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 11@22@168550646}-email-moshiax@aol.com-ver-6.1.0.0.b.cbf
известные почты:
email-moshiax@aol.com
email-mserbinov@aol.com
email-watnik91@aol.com
email-vpupkin3@aol.com
возможно, их гораздо больше
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe
ver-8.0.0.0
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 12@49@155029625}-email-moshiax@aol.com-ver-8.0.0.0.cbf
известные почты:
email-moshiax@aol.com
email-watnik91@aol.com
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe
ver-CL 0.0.1.0
пример зашифрованного файла:
email-mserbinov@aol.com.ver-CL 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 23@58@548191739.randomname-DJNRWAEJNQUYBFJNRVYCGKOSWZDHLP.TXB.cbf
известные почты:
email-mserbinov@aol.com
d_madre@aol.com
trojanencoder@aol.com
iizomer@aol.com
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
C:\Program Files\monitor.exe
ver-CL 1.0.0.0
пример зашифрованного файла:
email-cryptolocker@aol.com.ver-CL 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@36@284834316.randomname-HGCVMANYIQXEKPUXBDGIKMNPQRSTTU.UUV.cbf
видим, что закодированное имя перемещено в конец заголовка.
известные почты:
email-gerkaman@aol.com
email-Seven_Legion2@aol.com
email-gcaesar2@aol.com
email-Igor_svetlov2@aol.com
email-ninja.gaiver@aol.com
email-bekameka777@aol.com
email- last.centurion@aol.com
email-a_princ@aol.com
email-Cryptolocker@aol.com
email-ivanov34@aol.com
email-vpupkin3@aol.com
email-oduvansh@aol.com
email-trojanencoder@aol.com
email-iizomer@aol.com
email-moshiax@aol.com
email-load180@aol.com
email-watnik91@aol.com
примеры автозапуска в системе:
ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
C:\Program Files\simpleinf.exe
ver-CL 1.0.0.0u
пример зашифрованного файла:
известные почты:
email-iizomer@aol.com
email-cryptolocker@aol.com_graf1
email-cryptolocker@aol.com_mod
email-byaki_buki@aol.com_mod2
ver-CL 1.1.0.0
пример зашифрованного файла:
email-eric.decoder10@gmail.com.ver-CL 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 14@39@447462257.randomname-MSYEKQWBHMSXDJPTZFLQWCHMSYDJPU.AGM.cbf
известные почты:
email-hontekilla@india.com
email-gerkaman@aol.com
email-oduvansh@aol.com
eric.decoder10@gmail.com
email-trojanencoder@aol.com
email-watnik91@aol.com
seven_legin2@aol.com
email-obamausa7@aol.com
email-gcaesar2@aol.com
примеры автозапуска в системе:
ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
C:\Program Files\1C\карточка предприятия.exe
ver-CL 1.2.0.0
пример зашифрованного файла:
email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 17@04@497267438.randomname-HOUASYEKQWDIOUAGMSZEKRWCJOUAGN.SZF.cbf
известные почты:
email-anton_ivanov34@aol.com
email-trojanencoder@aol.com
email-iizomer@aol.com
email-ivan_fedorov16@aol.com
!email-cryptoloker@aol.com
email-zed.zorro1@aol.com
email-fedor_pavlov13@yahoo.com
email-agent.vayne@india.com
email-moshiax@aol.com
! email-oduvansh@aol.com
email-gcaesar2@aol.com
email-crypt.cryptor@aol.com
email-age_empires@ aol.com
примеры автозапуска в системе:
ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
C:\Program Files\service.exe
ver-CL 1.3.0.0
пример зашифрованного файла:
email-moshiax@aol.com.ver-CL 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 20@08@033014428.randomname-AKPUUAFKPUZEINSXCHMRWAFKPUZDIN.TXC.cbf
известные почты:
email-moshiax@aol.com
cryptolocker@aol.com
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool
C:\Program Files\tr.exe
ver-CL 1.3.1.0
пример зашифрованного файла:
известные почты:
byaki_buki@aol.com_grafdrkula@gmail.com
email-byaki_buki@aol.com
email-iizomer@aol.com
email-crypthelp@qq.com
email-tapok@tuta.io
email-iizomer.iizomer@yandex.ru_iizomer@aol.com
email-v_pupkin@aol.com
email-mortalis_certamen@aol.com
email-salazar_slytherin10@yahoo.com
email-200usd@india.com
email-eugene_danilov@yahoo.com
...
примеры автозапуска в системе:
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
00F5-A4D1 C:\Program Files\WinRar\резюме.exe
fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)
пример зашифрованного файла:
email-blackdragon43@yahoo.com.ver-CL 1.4.0.0.id-3908370012-23.03.2018 10@01@539726651.fname-Правила поведения вахтеров.jpg.fairytail
известные почты:
email-blackdragon43@yahoo.com
email-hola@all-ransomware.info
примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001
C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe
doubleoffset (CL 1.5.1.0)
пример зашифрованного файла:
email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset
известные почты:
email-3nity@tuta.io
email-butterfly.iron@aol.com
email-n_nightmare@yahoo.com
email-vally@x-mail.pro
email-blackdragon43@yahoo.com
email-dorispackman@tuta.io
email-hola@all-ransomware.info
email-coolguay@tutanota.com
email-biger@x-mail.pro
email-tapok@tuta.io
email-komar@tuta.io
примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe
CS 1.6.0.0
пример зашифрованного файла:
известные почты:
email-sugarman@tutamail.com
email-3nity@tuta.io
email-mr.yoba@aol.com
CS 1.7.0.1
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][opensafezona@protonmail.com].git
известные почты:
opensafezona@protonmail.com
CS 1.8.0.0
пример зашифрованного файла:
branding.xml[grand@horsefucker.org][2094653670-1579267651].whv
известные почты:
graff_de_malfet@protonmail.ch
grand@horsefucker.org
tomascry@protonmail.com
CryLock 1.9.0.0
Опознан как
sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D
пример зашифрованного файла:
VTS_01_0.BUP[reddragon3335799@protonmail.ch][special].[10ABB6A7-867BCEF7]
известные почты:
reddragon3335799@protonmail.ch
graff_de_malfet@protonmail.ch
coronovirus@protonmail.com
