Перейти к содержанию

Trojan-Ransom.Win32.Cryakl @rudecrypt зашифровал все файлы xlsx, pdf, zip, 1cd, и т.д.

taurus159
 Поделиться

Рекомендуемые сообщения

taurus159

taurus159

Опубликовано
Опубликовано (изменено)

21.04.2023 во внерабочее время злоумышленник (или бот злоумышленника) смог зайти под учетной записью удаленного пользователя (без дополнительных привилегий), приостановил работу KIS и выполнил зловредный код по шифрованию.

Обнаружили беду только сегодня 24.04.2023. Также были зашифрованы и резервные копии самой ОС и базы данных 1С.

 

На управление работой антивируса теперь установлен отдельный пароль и система просканирована и очищена от зловреда. Прошу помощи в расшифровке файлов.

 

Судя по имени файла подсказке how_to_decrypt.hta и по содержимому в зашифрованных файлах {ENCRYPTSTART} и {ENCRYPTENDED} - это Trojan-Ransom.Win32.Cryakl версии 2.0.0.0.

 

Пример файла и логи FRST прикладываю:

 

how_to_decrypt.hta.zipFRST.zip

encypted sample.zip

Изменено пользователем taurus159
thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки для данного варианта нет

taurus159

taurus159

Опубликовано
  • Автор
Опубликовано (изменено)

Связался с владельцем шифровальщика по Телеграму @rudecrypt. Сначала долго не отвечали (часа 4), затем запросили стандартные $2000 и на встречное предложение снова не было долго ответа. Общение, кстати на русском. К концу дня сошлись на цене в $400 в криптовалюте. После перевода биткойна в эквиваленте оговоренной суммы, прислали программу-сканнер Search keys 3.0.exe.zip, которая сканирует все диски и считает количество зашифрованных файлов. По итогу работы этой программы создается файл data.ini , который содержит что-то вроде слепка файловой системы. Этот файл отправил обратно автору программы, на что в ответ получил: ожидайте 5-12 часов, пока создается программа дешифровщик. Однако прошло еще 3,5 часа и прислали rar-архив A351F7A2-16E9ED10.rar.zip, в котором был мой data.ini, программа дешифровки decbuild.exe и файл с ключом шифровани я keys.txt.   

 

Пароль на архивы: virus

 

Не знаю, поможет ли это создать какое-то средства расшифровки. Но для себя сделал определенные выводы и принял доп. меры защиты. 

 

Всем добра и безопасных систем.

Изменено пользователем taurus159
Sandor

Sandor

Опубликовано
Опубликовано

Увы, не поможет. Приватный ключ находится у злоумышленников.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ByAleks6
      Зашифровались все файлы с разрешением: docx, xlsx, pdf (личные данные) и и т.д.
      Автор ByAleks6
      Внезапно начал сильно тормозить компьютер и зашифровались все файлы с разрешением: docx, xlsx, pdf (личные данные) и и.т.д.
      У файлов дописалось расширение vaqz2j
      После проверки лечащей утилитой обнаружено в автозагрузке BackDoor.AsyncRAT.53 (VncKrip.exe) и PowerShell.Dropper.54 (setup.exe).
      Возможно ли расшифровать что-либо после вируса?
      Существуют ли другие способы кроме дешифровки?
      Может ли кто-нибудь чем-то помочь в этой ситуации?
      Образцы шифрованных файлов во вложении
      Спасибо!
      3.zip
    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      Автор DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • Netyfrey
      Trojan-Ransom.Win32.Rakhni
      Автор Netyfrey
      Зашифрованы все файлы на ПК, к многим добавлено расширение. К архивам расширение не добавилось, но при попытке их открыть - "архив поврежден"
      fails.rar FRST.txt unlock-info.rar
    • d280486
      Trojan-Ransom.Win32.Gen.gen
      Автор d280486
      Здравствуйте, поймали Trojan-Ransom.Win32.Gen.gen, стоял ли антивирус неизвестно
    • SZ1
      [Расшифровано] Помогите расшифровать файлы Trojan-Ransom.Win32.Crypmod.acdk
      Автор SZ1
      Здравствуйте, помогите расшифровать файлы зашифрованные шифровальщиком Trojan-Ransom.Win32.Crypmod.acdk
       
      Архив с зашифрованным файлом и шифровальщиком: удалено
      Пароль от архива: infect
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы и ссылки на них.
×
×
  • Создать...