Cryakl/CryLock - этапы "большого пути"

Первая информация о шифраторе Cryakl опубликована на securelist.ru в октябре 2014 года.

 
Цитата
В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

   - информацию о размере и расположении зашифрованных блоков,
   - MD5-хэши от оригинального файла и его заголовка,
   - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
   - ID жертвы,
   - оригинальное имя зашифрованного файла,
   - метку заражения {CRYPTENDBLACKDC}.


скорее всего, Cryakl известен с начала 2014 года

ранние версии:
ver-4.0.0.0
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf

известные почты:

  email-masfantomas@aol.com
   email-HELPFILEDESKRIPT111@GMAIL.COM
   email-helpdecrypt@gmail.com
   email-helpdecrypt123@gmail.com
   email-deskripshen1c@gmail.com
   email-deskr1000@gmail.com
   email-mserbinov@onionmail.in
   email-vernutfiles@gmail.com
   email-base1c1c1c@gmail.com



примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

ver-6.1.0.0
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 11@22@168550646}-email-moshiax@aol.com-ver-6.1.0.0.b.cbf

известные почты:

   email-moshiax@aol.com
   email-mserbinov@aol.com
   email-watnik91@aol.com
   email-vpupkin3@aol.com


возможно, их гораздо больше
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

ver-8.0.0.0
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 12@49@155029625}-email-moshiax@aol.com-ver-8.0.0.0.cbf

известные почты:

email-moshiax@aol.com
   email-watnik91@aol.com


примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

ver-CL 0.0.1.0

пример зашифрованного файла:
email-mserbinov@aol.com.ver-CL 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 23@58@548191739.randomname-DJNRWAEJNQUYBFJNRVYCGKOSWZDHLP.TXB.cbf

известные почты:

  email-mserbinov@aol.com
   d_madre@aol.com
   trojanencoder@aol.com
   iizomer@aol.com


примеры автозапуска в системе:

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

ver-CL 1.0.0.0

пример зашифрованного файла:
email-cryptolocker@aol.com.ver-CL 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@36@284834316.randomname-HGCVMANYIQXEKPUXBDGIKMNPQRSTTU.UUV.cbf
видим, что закодированное имя перемещено в конец заголовка.

известные почты:

   email-gerkaman@aol.com
   email-Seven_Legion2@aol.com
   email-gcaesar2@aol.com
   email-Igor_svetlov2@aol.com
    email-ninja.gaiver@aol.com
    email-bekameka777@aol.com
    email- last.centurion@aol.com
    email-a_princ@aol.com
    email-Cryptolocker@aol.com
    email-ivanov34@aol.com
    email-vpupkin3@aol.com
    email-oduvansh@aol.com
    email-trojanencoder@aol.com
    email-iizomer@aol.com
    email-moshiax@aol.com
    email-load180@aol.com
    email-watnik91@aol.com


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

ver-CL 1.0.0.0u

пример зашифрованного файла:


известные почты:

   email-iizomer@aol.com
   email-cryptolocker@aol.com_graf1
   email-cryptolocker@aol.com_mod
   email-byaki_buki@aol.com_mod2



ver-CL 1.1.0.0

пример зашифрованного файла:
email-eric.decoder10@gmail.com.ver-CL 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 14@39@447462257.randomname-MSYEKQWBHMSXDJPTZFLQWCHMSYDJPU.AGM.cbf
известные почты:

   email-hontekilla@india.com
   email-gerkaman@aol.com
   email-oduvansh@aol.com
   eric.decoder10@gmail.com
   email-trojanencoder@aol.com
   email-watnik91@aol.com
   seven_legin2@aol.com
   email-obamausa7@aol.com
   email-gcaesar2@aol.com


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

ver-CL 1.2.0.0

пример зашифрованного файла:
email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 17@04@497267438.randomname-HOUASYEKQWDIOUAGMSZEKRWCJOUAGN.SZF.cbf

известные почты:

   email-anton_ivanov34@aol.com
   email-trojanencoder@aol.com
   email-iizomer@aol.com
   email-ivan_fedorov16@aol.com
   !email-cryptoloker@aol.com
   email-zed.zorro1@aol.com
   email-fedor_pavlov13@yahoo.com
   email-agent.vayne@india.com
   email-moshiax@aol.com
   ! email-oduvansh@aol.com
   email-gcaesar2@aol.com
   email-crypt.cryptor@aol.com
   email-age_empires@ aol.com


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

ver-CL 1.3.0.0
пример зашифрованного файла:
email-moshiax@aol.com.ver-CL 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 20@08@033014428.randomname-AKPUUAFKPUZEINSXCHMRWAFKPUZDIN.TXC.cbf
известные почты:

   email-moshiax@aol.com
   cryptolocker@aol.com


примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

ver-CL 1.3.1.0

пример зашифрованного файла:

известные почты:

   byaki_buki@aol.com_grafdrkula@gmail.com
   email-byaki_buki@aol.com
   email-iizomer@aol.com
   email-crypthelp@qq.com
   email-tapok@tuta.io
   email-iizomer.iizomer@yandex.ru_iizomer@aol.com
   email-v_pupkin@aol.com
   email-mortalis_certamen@aol.com
   email-salazar_slytherin10@yahoo.com
   email-200usd@india.com
   email-eugene_danilov@yahoo.com

   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)

пример зашифрованного файла:

   email-blackdragon43@yahoo.com.ver-CL 1.4.0.0.id-3908370012-23.03.2018 10@01@539726651.fname-Правила поведения вахтеров.jpg.fairytail

известные почты:

    email-blackdragon43@yahoo.com
   email-hola@all-ransomware.info


примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

doubleoffset (CL 1.5.1.0)

пример зашифрованного файла:
email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

email-3nity@tuta.io
   email-butterfly.iron@aol.com
   email-n_nightmare@yahoo.com
   email-vally@x-mail.pro
   email-blackdragon43@yahoo.com
   email-dorispackman@tuta.io
   email-hola@all-ransomware.info
   email-coolguay@tutanota.com
   email-biger@x-mail.pro
   email-tapok@tuta.io
   email-komar@tuta.io


примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

CS 1.6.0.0

пример зашифрованного файла:

известные почты:

   email-sugarman@tutamail.com
   email-3nity@tuta.io
   email-mr.yoba@aol.com


CS 1.7.0.1
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][opensafezona@protonmail.com].git
известные почты:

   opensafezona@protonmail.com

CS 1.8.0.0
пример зашифрованного файла:
branding.xml[grand@horsefucker.org][2094653670-1579267651].whv
известные почты:

   graff_de_malfet@protonmail.ch
   grand@horsefucker.org
   tomascry@protonmail.com


CryLock 1.9.0.0

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[reddragon3335799@protonmail.ch][special].[10ABB6A7-867BCEF7]

известные почты:
   
reddragon3335799@protonmail.ch
   graff_de_malfet@protonmail.ch
   coronovirus@protonmail.com
Здравствуйте,

значит, что делать в такой ситуации,
как я понял, у пользователя учетные данные были  скомпрометированы,
потом,
подключились под ограниченными правами данного пользователя с правами пользователь,
загрузили файлы,
и произвели блокировку его рабочего стола.

Теперь файлы, к которым имел пользователь доступ,
они зашифровались, я так понял по информации файлов,
это: вирус шифровальщик "CryLock" или "CryLock Ransomware"со следующими эл.адресом flydragon@mailfence.com,
который не все файлы смог шифрануть, но часть шифрованную и оставил такую надпись "[flydragon@mailfence.com][sel4ru].[3E2730A7-21C21601]",
и некоторые файлы имеют  с расширение .cfl

Я как авторизированный пользователь корпоративного антивируса,
могу получить рекомендации по данному вирусу?

так как есть предложенные варианты, другого антивируса решения, но на сколько он  действительны они не известны мне на данный момент.

Я сейчас произвел копию автономной машины, чтобы её выгрузить в виртуальному машину и при помощи снимков (snapshot) проводить тест на восстановление файлов,
с учетом того, что при не корректных действий, я могу вернутся назад в исходному состоянию и проверить снова.

Вирус шифровщик вымогатель именую себя файлом и наименованием как "Desktop locker" - которая запущена на экране и просит вести пароль.
При вводе тестового пароль, он сразу сообщает, что сколько попыток мне осталось до ? "не известного состояния".

Найденных в описаниях в сети, написано что "CryLock" это следующим типом или программистом Cryakl и его решение.

Как можно решить вопрос с дешифрации с помощью специалистов eset?
3.jpeg (55.4 КБ)
1.jpg (6.38 КБ)
2.jpeg (121.52 КБ)
Изменено: alx bit - 03.11.2020 17:14:22
1. что вам нужно сделать. чтобы обойти блокировку. пробуйте загрузиться в систему из безопасного режима и создать образ автозапуска из зашифрованной системы.
нам необходимо убрать тело шифратора из автозапуска и снять блокировку рабочего стола. предполагаем что блокировки не должно быть в безопасном режиме.

2. нам будет нужен зашифрованный файл, чтобы определить версию Crylock, чтобы определить возможность расшифровки файлов на текущий момент.

3. поскольку атака было из под ограниченной учетки с ваших слов, то возможно уцелели теневые копии, из которых возможно восстановление защифрованных файлов с системного диска.

4. еще запросим доп логи, чтобы исследовать развитие атаки, а так же нужен будет полный архив со всеми файлами ,которые указаны на скриншоте (т.е. все  инструменты, который использовал злоумышленник для взлома и шифрования вашей системы)
Я так понял  криптографии это версия 2.0, искал в сети ничего не нашел. Ну мне не так страшно, два дня потеряно, завтра будут в ручную восстанавливать. Копию p2v сделай и могу там тестить на дешифровку, так как большинство так не делают, что очень необходимо. Так как исходная система будет в начальном состоянии . Удалённых файлов не было, он ничего не удалял в корзину злоумышленник
все же сделайте, по пунктам 1, 2, 3, 4. в этом случае мы поможем вам быстрее найти решение,  если оно есть на текущий момент
из списка файлов sel4ru - это исходный файл шифратора, который был запущен. остальные файлы - вспомогательные, для сканирования дрругих компьютеров в лок сети и проникновения на другие компы
Да, дело в том, что все включено было, и зашифровался только один пользователь и доступ к чему имел, а все остальное осталось живым и не нетронутым. Ну я не стал рисковать, новую ОС поднял, и ИБ с 2х дневней потерей загружу и все. Просто это атака была, ip адреса есть откуда происходит и она происходит ежеминутно, кто то крутит пытается, или по почте отправили пользователю. Но если по почте отправили бы, то ПК пользователя тоже бы вируснулся, это один момент, что крутят удалённо с разных IP. Просто это связано с тем, что имеется еще SIP телефония на этом IP, и сразу где телефония там и другие порты сканят. Самое интересно, что не крутили они роль Администратора, а забрутили пользователя. Если ли сканеры, которые могут видеть больше? Чем открытые порты?
в таком случае все интересно. хэш пользователя, из под которого был запуск шифратора, журналы событий из зашифрованной системы, они наверняка не были удалены,, если не было административных прав, +  логи маршрутизатора, если было настроено логирование критических событий, и все что перечислено по пунктам 1,2,3, 4, тогда можно высказаться с большей определенностью
Образ есть, все выташить можно, это какие зловреды, в не обди были)) время захода, 2 саса они сидели ждать пока отскаеируется или пытались в сети крутить другие сервера, потом через 2 часа вышли. А зашли в 00.21, а шифрование запустили в 00.23 минуты ночи. Эти вирус шифраторы, с ними Win10 Pro лицензия, хорошо борется, а с пользователем не повезло.
если не смогли получить админские права, значит не смогли бы отключить антивирусные программы, если они были установлены. Crylock должен был дететктироваться при запуске шифрования. так что ждем образ автозапуска системы, можно из безопасного режима. чтобы разглядеть ваш случай повнимательнее. тем более, что у вас снят виртуальный образ с компутера. можно внимательно изучить атаку.
I love ESET всегда, но был бы рад помощи.
Читают тему (гостей: 1)