Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Cryakl/CryLock - этапы "большого пути"

1 2 3 4 5 След.
RSS
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 31.03.2020 10:14:46
Первая информация о шифраторе Cryakl опубликована на securelist.ru в октябре 2014 года.

 
Цитата
В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

   - информацию о размере и расположении зашифрованных блоков,
   - MD5-хэши от оригинального файла и его заголовка,
   - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
   - ID жертвы,
   - оригинальное имя зашифрованного файла,
   - метку заражения {CRYPTENDBLACKDC}.


скорее всего, Cryakl известен с начала 2014 года

ранние версии:
ver-4.0.0.0
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}[email protected]

известные почты:

  [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]


примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

ver-6.1.0.0
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 11@22@168550646}[email protected]

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]

возможно, их гораздо больше
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

ver-8.0.0.0
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 12@49@155029625}[email protected]

известные почты:

[email protected]
   [email protected]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

ver-CL 0.0.1.0

пример зашифрованного файла:
[email protected] 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 23@[email protected]

известные почты:

  [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

ver-CL 1.0.0.0

пример зашифрованного файла:
[email protected] 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@[email protected]
видим, что закодированное имя перемещено в конец заголовка.

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
    [email protected]
    [email protected]
    email- [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

ver-CL 1.0.0.0u

пример зашифрованного файла:


известные почты:

   [email protected]
   [email protected]_graf1
   [email protected]_mod
   [email protected]_mod2


ver-CL 1.1.0.0

пример зашифрованного файла:
[email protected] 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 14@[email protected]
известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

ver-CL 1.2.0.0

пример зашифрованного файла:
[email protected] 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 17@[email protected]

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   ! [email protected]
   [email protected]
   [email protected]
   email-age_empires@ aol.com

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

ver-CL 1.3.0.0
пример зашифрованного файла:
[email protected] 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 20@[email protected]
известные почты:

   [email protected]
   [email protected]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

ver-CL 1.3.1.0

пример зашифрованного файла:

известные почты:

   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)

пример зашифрованного файла:

   [email protected] 1.4.0.0.id-3908370012-23.03.2018 10@[email protected]Правила поведения вахтеров.jpg.fairytail

известные почты:

    [email protected]
   [email protected]

примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

doubleoffset (CL 1.5.1.0)

пример зашифрованного файла:
[email protected] 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

[email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

CS 1.6.0.0

пример зашифрованного файла:

известные почты:

   [email protected]
   [email protected]
   [email protected]

CS 1.7.0.1
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][[email protected]].git
известные почты:

   [email protected]

CS 1.8.0.0
пример зашифрованного файла:
branding.xml[[email protected]][2094653670-1579267651].whv
известные почты:

   [email protected]
   [email protected]
   [email protected]

CryLock 1.9.0.0

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[[email protected]][special].[10ABB6A7-867BCEF7]

известные почты:
   
[email protected]
   [email protected]
   [email protected]
[ Как создать образ автозапуска? ]
 
Администратор Системный
Администратор Системный
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 18.10.2020
Размещено 18.10.2020 07:55:36
Здравствуйте,

значит, что делать в такой ситуации,
как я понял, у пользователя учетные данные были  скомпрометированы,
потом,
подключились под ограниченными правами данного пользователя с правами пользователь,
загрузили файлы,
и произвели блокировку его рабочего стола.

Теперь файлы, к которым имел пользователь доступ,
они зашифровались, я так понял по информации файлов,
это: вирус шифровальщик "CryLock" или "CryLock Ransomware"со следующими эл.адресом [email protected],
который не все файлы смог шифрануть, но часть шифрованную и оставил такую надпись "[[email protected]][sel4ru].[3E2730A7-21C21601]",
и некоторые файлы имеют  с расширение .cfl

Я как авторизированный пользователь корпоративного антивируса,
могу получить рекомендации по данному вирусу?

так как есть предложенные варианты, другого антивируса решения, но на сколько он  действительны они не известны мне на данный момент.

Я сейчас произвел копию автономной машины, чтобы её выгрузить в виртуальному машину и при помощи снимков (snapshot) проводить тест на восстановление файлов,
с учетом того, что при не корректных действий, я могу вернутся назад в исходному состоянию и проверить снова.

Вирус шифровщик вымогатель именую себя файлом и наименованием как "Desktop locker" - которая запущена на экране и просит вести пароль.
При вводе тестового пароль, он сразу сообщает, что сколько попыток мне осталось до ? "не известного состояния".

Найденных в описаниях в сети, написано что "CryLock" это следующим типом или программистом Cryakl и его решение.

Как можно решить вопрос с дешифрации с помощью специалистов eset?
1.jpg (6.38 КБ)
2.jpeg (121.52 КБ)
3.jpeg (55.4 КБ)
Изменено: alx bit - 03.11.2020 17:14:22
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 18.10.2020 17:24:26
1. что вам нужно сделать. чтобы обойти блокировку. пробуйте загрузиться в систему из безопасного режима и создать образ автозапуска из зашифрованной системы.
нам необходимо убрать тело шифратора из автозапуска и снять блокировку рабочего стола. предполагаем что блокировки не должно быть в безопасном режиме.

2. нам будет нужен зашифрованный файл, чтобы определить версию Crylock, чтобы определить возможность расшифровки файлов на текущий момент.

3. поскольку атака было из под ограниченной учетки с ваших слов, то возможно уцелели теневые копии, из которых возможно восстановление защифрованных файлов с системного диска.

4. еще запросим доп логи, чтобы исследовать развитие атаки, а так же нужен будет полный архив со всеми файлами ,которые указаны на скриншоте (т.е. все  инструменты, который использовал злоумышленник для взлома и шифрования вашей системы)
[ Как создать образ автозапуска? ]
 
alx bit
alx bit
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 18.10.2020
Размещено 18.10.2020 18:15:11
Я так понял  криптографии это версия 2.0, искал в сети ничего не нашел. Ну мне не так страшно, два дня потеряно, завтра будут в ручную восстанавливать. Копию p2v сделай и могу там тестить на дешифровку, так как большинство так не делают, что очень необходимо. Так как исходная система будет в начальном состоянии . Удалённых файлов не было, он ничего не удалял в корзину злоумышленник
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 18.10.2020 18:21:12
все же сделайте, по пунктам 1, 2, 3, 4. в этом случае мы поможем вам быстрее найти решение,  если оно есть на текущий момент
из списка файлов sel4ru - это исходный файл шифратора, который был запущен. остальные файлы - вспомогательные, для сканирования дрругих компьютеров в лок сети и проникновения на другие компы
[ Как создать образ автозапуска? ]
 
alx bit
alx bit
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 18.10.2020
Размещено 18.10.2020 18:41:15
Да, дело в том, что все включено было, и зашифровался только один пользователь и доступ к чему имел, а все остальное осталось живым и не нетронутым. Ну я не стал рисковать, новую ОС поднял, и ИБ с 2х дневней потерей загружу и все. Просто это атака была, ip адреса есть откуда происходит и она происходит ежеминутно, кто то крутит пытается, или по почте отправили пользователю. Но если по почте отправили бы, то ПК пользователя тоже бы вируснулся, это один момент, что крутят удалённо с разных IP. Просто это связано с тем, что имеется еще SIP телефония на этом IP, и сразу где телефония там и другие порты сканят. Самое интересно, что не крутили они роль Администратора, а забрутили пользователя. Если ли сканеры, которые могут видеть больше? Чем открытые порты?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 18.10.2020 19:00:22
в таком случае все интересно. хэш пользователя, из под которого был запуск шифратора, журналы событий из зашифрованной системы, они наверняка не были удалены,, если не было административных прав, +  логи маршрутизатора, если было настроено логирование критических событий, и все что перечислено по пунктам 1,2,3, 4, тогда можно высказаться с большей определенностью
[ Как создать образ автозапуска? ]
 
alx bit
alx bit
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 18.10.2020
Размещено 18.10.2020 19:06:38
Образ есть, все выташить можно, это какие зловреды, в не обди были)) время захода, 2 саса они сидели ждать пока отскаеируется или пытались в сети крутить другие сервера, потом через 2 часа вышли. А зашли в 00.21, а шифрование запустили в 00.23 минуты ночи. Эти вирус шифраторы, с ними Win10 Pro лицензия, хорошо борется, а с пользователем не повезло.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 18.10.2020 19:11:06
если не смогли получить админские права, значит не смогли бы отключить антивирусные программы, если они были установлены. Crylock должен был дететктироваться при запуске шифрования. так что ждем образ автозапуска системы, можно из безопасного режима. чтобы разглядеть ваш случай повнимательнее. тем более, что у вас снят виртуальный образ с компутера. можно внимательно изучить атаку.
[ Как создать образ автозапуска? ]
 
alx bit
alx bit
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 18.10.2020
Размещено 18.10.2020 19:11:43
I love ESET всегда, но был бы рад помощи.
 
1 2 3 4 5 След.
Читают тему