Перейти к содержанию

Trojan-Ransom.Win32.Cryakl @rudecrypt зашифровал все файлы xlsx, pdf, zip, 1cd, и т.д.

taurus159
 Share

Рекомендуемые сообщения

taurus159 Новичок

taurus159

Опубликовано
Опубликовано (изменено)

21.04.2023 во внерабочее время злоумышленник (или бот злоумышленника) смог зайти под учетной записью удаленного пользователя (без дополнительных привилегий), приостановил работу KIS и выполнил зловредный код по шифрованию.

Обнаружили беду только сегодня 24.04.2023. Также были зашифрованы и резервные копии самой ОС и базы данных 1С.

 

На управление работой антивируса теперь установлен отдельный пароль и система просканирована и очищена от зловреда. Прошу помощи в расшифровке файлов.

 

Судя по имени файла подсказке how_to_decrypt.hta и по содержимому в зашифрованных файлах {ENCRYPTSTART} и {ENCRYPTENDED} - это Trojan-Ransom.Win32.Cryakl версии 2.0.0.0.

 

Пример файла и логи FRST прикладываю:

 

how_to_decrypt.hta.zipFRST.zip

encypted sample.zip

Изменено пользователем taurus159
Ссылка на комментарий
Поделиться на другие сайты
taurus159 Новичок

taurus159

Опубликовано
  • Автор
Опубликовано (изменено)

Связался с владельцем шифровальщика по Телеграму @rudecrypt. Сначала долго не отвечали (часа 4), затем запросили стандартные $2000 и на встречное предложение снова не было долго ответа. Общение, кстати на русском. К концу дня сошлись на цене в $400 в криптовалюте. После перевода биткойна в эквиваленте оговоренной суммы, прислали программу-сканнер Search keys 3.0.exe.zip, которая сканирует все диски и считает количество зашифрованных файлов. По итогу работы этой программы создается файл data.ini , который содержит что-то вроде слепка файловой системы. Этот файл отправил обратно автору программы, на что в ответ получил: ожидайте 5-12 часов, пока создается программа дешифровщик. Однако прошло еще 3,5 часа и прислали rar-архив A351F7A2-16E9ED10.rar.zip, в котором был мой data.ini, программа дешифровки decbuild.exe и файл с ключом шифровани я keys.txt.   

 

Пароль на архивы: virus

 

Не знаю, поможет ли это создать какое-то средства расшифровки. Но для себя сделал определенные выводы и принял доп. меры защиты. 

 

Всем добра и безопасных систем.

Изменено пользователем taurus159
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • Максим Ivanov
      Файлы были зашифрованы .want_to_cry
      От Максим Ivanov
      Файлы с расширением .want_to_cry. Kaspersky Small Office Security вируса не обнаружил, при этом не все файлы на диске были зашифрованы, только одна папка. Во вложении все необходимое.
      Addition.txt FRST.txt Файлы.rar
    • Azward
      Зашифровались файлы hop_dec
      От Azward
      Добрый день! 
      Зашифровались все файлы на рабочей машине. В том числе 1с базы.
      [MJ-CR7920861453](decodehop@gmail.com )   Все файлы с таким расширением.
      Отправил во вложении Архив с файлом, и логи FRST
      Надеемся на вашу помощь. Стоял касперский Small office security. Не помог. Сейчас вовсе исчез.
      virus.rar Addition.txt FRST.txt
    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
    • Лариса B
      King зашифровал файлы организации
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
×
×
  • Создать...