Cryakl/CryLock - этапы "большого пути"

RSS
Первая информация о шифраторе Cryakl опубликована на securelist.ru в октябре 2014 года.

 
Цитата
В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

   - информацию о размере и расположении зашифрованных блоков,
   - MD5-хэши от оригинального файла и его заголовка,
   - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
   - ID жертвы,
   - оригинальное имя зашифрованного файла,
   - метку заражения {CRYPTENDBLACKDC}.


скорее всего, Cryakl известен с начала 2014 года

ранние версии:
ver-4.0.0.0
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 [email protected]@508370589}[email protected]

известные почты:

  [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]



примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

ver-6.1.0.0
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 [email protected]@168550646}[email protected]

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]


возможно, их гораздо больше
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

ver-8.0.0.0
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 [email protected]@155029625}[email protected]

известные почты:

[email protected]
   [email protected]


примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

ver-CL 0.0.1.0

пример зашифрованного файла:
[email protected] 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 [email protected]@548191739.randomname-DJNRWAEJNQUYBFJNRVYCGKOSWZDHLP.TXB.cbf

известные почты:

  [email protected]
   [email protected]
   [email protected]
   [email protected]


примеры автозапуска в системе:

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

ver-CL 1.0.0.0

пример зашифрованного файла:
[email protected] 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 [email protected]@284834316.randomname-HGCVMANYIQXEKPUXBDGIKMNPQRSTTU.UUV.cbf
видим, что закодированное имя перемещено в конец заголовка.

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
    [email protected]
    [email protected]
    email- [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

ver-CL 1.0.0.0u

пример зашифрованного файла:


известные почты:

   [email protected]
   [email protected]_graf1
   [email protected]_mod
   [email protected]_mod2



ver-CL 1.1.0.0

пример зашифрованного файла:
[email protected] 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 [email protected]@447462257.randomname-MSYEKQWBHMSXDJPTZFLQWCHMSYDJPU.AGM.cbf
известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

ver-CL 1.2.0.0

пример зашифрованного файла:
[email protected] 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 [email protected]@497267438.randomname-HOUASYEKQWDIOUAGMSZEKRWCJOUAGN.SZF.cbf

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   ! [email protected]
   [email protected]
   [email protected]
   [email protected] aol.com


примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

ver-CL 1.3.0.0
пример зашифрованного файла:
[email protected] 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 [email protected]@033014428.randomname-AKPUUAFKPUZEINSXCHMRWAFKPUZDIN.TXC.cbf
известные почты:

   [email protected]
   [email protected]


примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

ver-CL 1.3.1.0

пример зашифрованного файла:

известные почты:

   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   emai[email protected]
   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]

   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)

пример зашифрованного файла:

   [email protected] 1.4.0.0.id-3908370012-23.03.2018 [email protected]@539726651.fname-Правила поведения вахтеров.jpg.fairytail

известные почты:

    [email protected]
   [email protected]


примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

doubleoffset (CL 1.5.1.0)

пример зашифрованного файла:
[email protected] 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

[email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]


примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

CS 1.6.0.0

пример зашифрованного файла:

известные почты:

   [email protected]
   [email protected]
   [email protected]


CS 1.7.0.1
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][[email protected]].git
известные почты:

   [email protected]

CS 1.8.0.0
пример зашифрованного файла:
branding.xml[[email protected]][2094653670-1579267651].whv
известные почты:

   [email protected]
   [email protected]
   [email protected]


CryLock 1.9.0.0

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[[email protected]][special].[10ABB6A7-867BCEF7]

известные почты:
   
[email protected]
   [email protected]
   [email protected]

Ответы

Цитата
santy написал:
если не смогли получить админские права, значит не смогли бы отключить антивирусные программы, если они были установлены. Crylock должен был дететктироваться при запуске шифрования. так что ждем образ автозапуска системы, можно из безопасного режима. чтобы разглядеть ваш случай повнимательнее. тем более, что у вас снят виртуальный образ с компутера. можно внимательно изучить атаку.
да, согласен, но где БД 1с стоит, там не рекомендуется ставить антивирус, так как может повлиять отрицательно на работу.  
NS.EXE я загрузил его на вирустотал, и он определил 56 вирусов под разными названиями.  
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
http://forum.esetnod32.ru/forum9/topic2687/
Цитата
santy написал:
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
http://forum.esetnod32.ru/forum9/topic2687/
хорошо, я могу попробовать, только можете сказать, через виртуальную я сам не заражцсь?) Сетку сразу вс отключаю.
Цитата
alx bit написал:
Цитата
 santy  написал:
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
 http://forum.esetnod32.ru/forum9/topic2687/  
хорошо, я могу попробовать, только можете сказать, через виртуальную я сам не заражцсь?) Сетку сразу вс отключаю.
нет конечно, шифратор не должен запуститься из безопасного режима. если он еще остался в автозапуске.
Цитата
santy написал:
Цитата
 alx bit  написал:
Цитата
 santy  написал:
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
  http://forum.esetnod32.ru/forum9/topic2687/  
хорошо, я могу попробовать, только можете сказать, через виртуальную я сам не заражцсь?) Сетку сразу вс отключаю.
нет конечно, шифратор не должен запуститься из безопасного режима. если он еще остался в автозапуске.

да, он остался, я сразу образ снял p2v развернул, и через снэпшоты чтобы можно было тестить, что удалено было и.т.д.

зловвред не все файлы за шифровал, потому что-либо система ему не дала из за ограниченности или же он выборочно шифровал.

вирус я просто через другого пользователя зашел, вырезал и в папку в другую положил и он на том пользователе не запускается повторно.  
Прошу Вас посмотреть - данный архив,
в котором находится зашифрованный файл,
это получается файл ярлык.

Если будет результат дефивроки,
можете сообщить,
мои дальнейшие действия?
файл зашифрован версией Crylock 2.0.0.0
Цитата
{sel4ru}{3E2730A7-21C21601}{2.0.0.0}
по данной версии пока нет расшифровки. ждем образ автозапуска для анализа системы, и возможности получения системных журналов.

собственно, дубль темы:
https://forum.kasperskyclub.ru/topic/75009-crylock-ili-cryakl-crylock-ili-cryakl-za-shifroval-fajly-ogranichennogo-polzovatelja-puti-reshenija/

надеюсь, будет какой-то полезный результат по вашему обращению здесь
Возможно, поможет специалистам создать расшифровщик. Один из наших клиентов оплатил расшифровку. Зловреды сначала прислали утилиту сканирования на предмет поиска открытого ключа (в файле data.ini), затем закрытый ключ (key.txt) и утилиту расшифровки.
Выкладываю все это на гугл-диск
https://drive.google.com/drive/folders/1lsaWogU9x-1VWBjSnqZINmcG-Fpacddf?usp=sharing
Цитата
Ivan Mintsev написал:
Выкладываю все это на гугл-диск
доступ можете добавить?
+
залейте сюда же,
дешифратор, зашифрованный файл, ключ в оригинальном формате+ утилиту поиска ключа, лучше все это поместить в один файл, в архив.
Читают тему (гостей: 2)