Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Cryakl/CryLock - этапы "большого пути"

RSS
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 31.03.2020 10:14:46
Первая информация о шифраторе Cryakl опубликована на securelist.ru в октябре 2014 года.

 
Цитата
В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

   - информацию о размере и расположении зашифрованных блоков,
   - MD5-хэши от оригинального файла и его заголовка,
   - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
   - ID жертвы,
   - оригинальное имя зашифрованного файла,
   - метку заражения {CRYPTENDBLACKDC}.


скорее всего, Cryakl известен с начала 2014 года

ранние версии:
ver-4.0.0.0
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}[email protected]

известные почты:

  [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]


примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

ver-6.1.0.0
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 11@22@168550646}[email protected]

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]

возможно, их гораздо больше
примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

ver-8.0.0.0
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 12@49@155029625}[email protected]

известные почты:

[email protected]
   [email protected]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

ver-CL 0.0.1.0

пример зашифрованного файла:
[email protected] 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 23@[email protected]

известные почты:

  [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

ver-CL 1.0.0.0

пример зашифрованного файла:
[email protected] 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@[email protected]
видим, что закодированное имя перемещено в конец заголовка.

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
    [email protected]
    [email protected]
    email- [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

ver-CL 1.0.0.0u

пример зашифрованного файла:


известные почты:

   [email protected]
   [email protected]_graf1
   [email protected]_mod
   [email protected]_mod2


ver-CL 1.1.0.0

пример зашифрованного файла:
[email protected] 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 14@[email protected]
известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

ver-CL 1.2.0.0

пример зашифрованного файла:
[email protected] 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 17@[email protected]

известные почты:

   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   ! [email protected]
   [email protected]
   [email protected]
   email-age_empires@ aol.com

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

ver-CL 1.3.0.0
пример зашифрованного файла:
[email protected] 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 20@[email protected]
известные почты:

   [email protected]
   [email protected]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

ver-CL 1.3.1.0

пример зашифрованного файла:

известные почты:

   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)

пример зашифрованного файла:

   [email protected] 1.4.0.0.id-3908370012-23.03.2018 10@[email protected]Правила поведения вахтеров.jpg.fairytail

известные почты:

    [email protected]
   [email protected]

примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

doubleoffset (CL 1.5.1.0)

пример зашифрованного файла:
[email protected] 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

[email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]

примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

CS 1.6.0.0

пример зашифрованного файла:

известные почты:

   [email protected]
   [email protected]
   [email protected]

CS 1.7.0.1
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][[email protected]].git
известные почты:

   [email protected]

CS 1.8.0.0
пример зашифрованного файла:
branding.xml[[email protected]][2094653670-1579267651].whv
известные почты:

   [email protected]
   [email protected]
   [email protected]

CryLock 1.9.0.0

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[[email protected]][special].[10ABB6A7-867BCEF7]

известные почты:
   
[email protected]
   [email protected]
   [email protected]
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 2 3 4 5 След.
 
Ярослав Глушко
Ярослав Глушко
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 20.10.2021
Размещено 22.10.2021 10:02:20
Прощу прощения, загрузил сам файл, проверьте пожалуйста  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.10.2021 16:01:40
Цитата
Ярослав Глушко написал:
Прощу прощения, загрузил сам файл, проверьте пожалуйста  
версия {2.0.0.0} без расшифровки на текущий момент,
если есть важные зашифрованные файлы, сохраните их на будущее,
возможно в будущем расшифровка по данной версии станет доступной.

если необх помощь в очистке системы, добавьте образ автозапуска системы
+
добавьте логи EsetlogCollector для анализа путей возможного проникновения на ваш сервер или рабочую станцию
https://forum.esetnod32.ru/forum9/topic10671/
[ Как создать образ автозапуска? ]
 
Илья Пегов
Илья Пегов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 25.10.2021
Размещено 25.10.2021 15:19:17
Добрый день! Помогите с расшифровкой.
Злоумышленник зашел по RDP подобрав пароль.
Машина была выключена, зашифровано не до конца.
snowdenV.7z - предположительно исполняемый файл шифровальщика.
послание.7z - оставлено злоумышленником
файлы.7z - зашифрованные файлы для примера
Лицензия NOD32 имеется
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 25.10.2021 16:42:48
да, это Cryakl/CryLock v {2.0.0.0} на текущий момент без расшифровки

https://www.virustotal.com/gui/file/b2db63e4ec291efa8d721bbd0155043667bc9c8b005e0ce­a1c5307cfc5a76e64

https://id-ransomware.malwarehunterteam.com/identify.php?case=924f0e44f9e820ddcba0d46341029e9ea0bea277

если необходима помощь в очистке системы, то нужен образ автозапуска системы



зашифрованные файлы (после очистки системы) сохраните на отдельном носителе, возможно в будущем будет возможность расшифровки.
[ Как создать образ автозапуска? ]
 
Илья Пегов
Илья Пегов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 25.10.2021
Размещено 26.10.2021 11:13:45
Подскажите, есть же утилита шифрования которую получилось извлечь с машины snowdenV.exe, может есть возможность вытащить что-то оттуда. Я попробовал запустить её на изолированной машине, зашифровал выбранные файлы, в конце работы предлагает создать новые ключи, удалиться, выключить компьютер. Очень понятный UI. В автозагрузку не лезет, в общем без слова "фас" не работает.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.10.2021 11:31:23
CryLock в основном так и работает. (Есть образцы, которые грузятся в автозапуск). В вашем случае здесь - интерактивный инструмент. Взлом системы, отключение защиты, поиск в сети возможных целей для шифрования, затем само шифрование. В вирлабе есть подобные инструменты. на текущий момент расшифровка невозможна. Последняя возможная была 1.9.0.0

в сети уже встречаются версии Crylock 2.3.0.0

Если на текущий момент система очищена, добавьте образ автозапуска+ логи ESETlogCollector, +можно добавить логи FRST
больше будет инфо для анализа.

На системе необх выполнить аудит, чтобы были установлены все важные обновления+ если есть доступ по RDP из внешней сети, разрешить доступ только с белых адресов.
[ Как создать образ автозапуска? ]
 
Alex Murphy
Alex Murphy
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 15.01.2017
Размещено 18.11.2021 22:53:07
Версии 2.0.0.0+ (вплоть до 2.4.0.0) нацелены только на иностранцев
 
Екатерина Савичева
Екатерина Савичева
Пользователь
Сообщений: 1
Регистрация: 29.04.2022
Размещено 29.04.2022 12:49:42
Добрый день.
Были зашифрованы файлы на ПК в локальной сети. Шифровальщик неизвестен, тело вируса не было найдено.
(Шифровальщик [[email protected]])
В архивах записка с требованиями, оригинальный файл и его зашифрованная версия.
Логов с зараженного ПК нет.

Возможно ли расшифровать?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 30.04.2022 05:32:08
Это Filecoder.EQ/CryLock 2.0   {2.0.0.0}, на текущий момент нет возможности расшифровать Ваши файлы.
Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем, расшифровка станет возможна.

Если необходима помощь в очистке системы, сделайте пожалуйста образ автозапуска системы в uVS на зашифрованном ПК
как сделать, подробнее на нашем форуме
https://forum.esetnod32.ru/forum9/topic2687/

рекомендуем сделать лог ESETSysVulnCheck для анализа уявимостей системы, которые могли стать причиной успешной атаки шифровальщика.

Скачайте специальную утилиту ESETSysVulnCheck по ссылке (скачивать необходимо в IE)

https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
[ Как создать образ автозапуска? ]
 
akok akok
akok akok
Пользователь
Сообщений: 1
Регистрация: 14.02.2018
Размещено 01.08.2022 14:40:06
Появились ключи для некоторых версий CryLock (2.0.0.0, 1.9.2.1 и 1.8.0.0).
Изменено: akok - 01.08.2022 14:41:17
 
Пред. 1 2 3 4 5 След.
Читают тему