Перейти к содержанию
Пройди опрос про новый продукт, получи приз

Trojan-Ransom.Win32.Cryakl @rudecrypt зашифровал все файлы xlsx, pdf, zip, 1cd, и т.д.

taurus159
 Share Подписчики 2

Рекомендуемые сообщения

taurus159

taurus159 0

Опубликовано
Опубликовано (изменено)

21.04.2023 во внерабочее время злоумышленник (или бот злоумышленника) смог зайти под учетной записью удаленного пользователя (без дополнительных привилегий), приостановил работу KIS и выполнил зловредный код по шифрованию.

Обнаружили беду только сегодня 24.04.2023. Также были зашифрованы и резервные копии самой ОС и базы данных 1С.

 

На управление работой антивируса теперь установлен отдельный пароль и система просканирована и очищена от зловреда. Прошу помощи в расшифровке файлов.

 

Судя по имени файла подсказке how_to_decrypt.hta и по содержимому в зашифрованных файлах {ENCRYPTSTART} и {ENCRYPTENDED} - это Trojan-Ransom.Win32.Cryakl версии 2.0.0.0.

 

Пример файла и логи FRST прикладываю:

 

how_to_decrypt.hta.zipFRST.zip

encypted sample.zip

Изменено пользователем taurus159
Ссылка на сообщение
Поделиться на другие сайты
taurus159

taurus159 0

Опубликовано
  • Автор
Опубликовано (изменено)

Связался с владельцем шифровальщика по Телеграму @rudecrypt. Сначала долго не отвечали (часа 4), затем запросили стандартные $2000 и на встречное предложение снова не было долго ответа. Общение, кстати на русском. К концу дня сошлись на цене в $400 в криптовалюте. После перевода биткойна в эквиваленте оговоренной суммы, прислали программу-сканнер Search keys 3.0.exe.zip, которая сканирует все диски и считает количество зашифрованных файлов. По итогу работы этой программы создается файл data.ini , который содержит что-то вроде слепка файловой системы. Этот файл отправил обратно автору программы, на что в ответ получил: ожидайте 5-12 часов, пока создается программа дешифровщик. Однако прошло еще 3,5 часа и прислали rar-архив A351F7A2-16E9ED10.rar.zip, в котором был мой data.ini, программа дешифровки decbuild.exe и файл с ключом шифровани я keys.txt.   

 

Пароль на архивы: virus

 

Не знаю, поможет ли это создать какое-то средства расшифровки. Но для себя сделал определенные выводы и принял доп. меры защиты. 

 

Всем добра и безопасных систем.

Изменено пользователем taurus159
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Shk
      Поймали шифровальщик [hopeandhonest@smime.ninja]
      От Shk
      Здравствуйте! Поймали эту гадость вероятнее всего через RDP. Зашифровала все до чего дотянулась.
      Диск с файлами вытащили, систему переставили. Подскажите пожалуйста, можно их расшифровать ?
      Virus.rar
    • QueenBlack
      Шифровальщик [@rudecrypt]
      От QueenBlack
      Доброго дня.
      Пришла беда, прошу помощи.
       
         var start_date = new Date('May 26 2023 23:52:20');
          var discount_date = new Date('May 28 2023 23:52:20');
          var end_date = new Date('May 31 2023 23:52:20');
          var main_contact = '@rudecrypt';
          var second_contact = 'telegramID@rudecrypt';
          var hid = '[6243493E-BBF995AE]';
          var telegram_link = 'https://telegram.org/';
       
      Addition.txt FRST.txt crypt.7z how_to_decrypt.7z
    • xonda904009
      [hopeandhonest@smime.ninja]
      От xonda904009
      Поймали вирус hopeandhonest@smime.ninja. Зашифровал во всех папках...
       
      Может можно что то сделать.  Сам комп переустановил на чистый  диск.
      virus.rar
    • adventure291277
      crylock 2.0.0.0 Шифровальщик-вымогатель hopeandhonest@smime.ninja
      От adventure291277
      Поймал шифровальщик Crylock 2.0.0.0 [hopeandhonest@smime.ninja]. Получил 6 терабайт зашифрованого пространства ( Там фото и видео архив семьи за 15 лет . Может можно чем-то помочь?   
      ВУЗ Поступление.rar
    • stcserg
      [РАСШИФРОВАНО] Шифровальщик hopeandhonest@smime.ninja
      От stcserg
      Доброго дня.
      Прошу помочь с расшифровкой файлов от данного вымогателя. Зашифровано было в июне. Тогда же и делались логи.
      После этого компьютер стоял отключенный.
      Addition_22-06-2022 17.01.31.txt FRST_22-06-2022 17.01.31.txt Smime.Ninja.rar
×
×
  • Создать...