Перейти к содержанию

Trojan-Ransom.Win32.Cryakl @rudecrypt зашифровал все файлы xlsx, pdf, zip, 1cd, и т.д.


Рекомендуемые сообщения

21.04.2023 во внерабочее время злоумышленник (или бот злоумышленника) смог зайти под учетной записью удаленного пользователя (без дополнительных привилегий), приостановил работу KIS и выполнил зловредный код по шифрованию.

Обнаружили беду только сегодня 24.04.2023. Также были зашифрованы и резервные копии самой ОС и базы данных 1С.

 

На управление работой антивируса теперь установлен отдельный пароль и система просканирована и очищена от зловреда. Прошу помощи в расшифровке файлов.

 

Судя по имени файла подсказке how_to_decrypt.hta и по содержимому в зашифрованных файлах {ENCRYPTSTART} и {ENCRYPTENDED} - это Trojan-Ransom.Win32.Cryakl версии 2.0.0.0.

 

Пример файла и логи FRST прикладываю:

 

how_to_decrypt.hta.zipFRST.zip

encypted sample.zip

Изменено пользователем taurus159
Ссылка на сообщение
Поделиться на другие сайты

Связался с владельцем шифровальщика по Телеграму @rudecrypt. Сначала долго не отвечали (часа 4), затем запросили стандартные $2000 и на встречное предложение снова не было долго ответа. Общение, кстати на русском. К концу дня сошлись на цене в $400 в криптовалюте. После перевода биткойна в эквиваленте оговоренной суммы, прислали программу-сканнер Search keys 3.0.exe.zip, которая сканирует все диски и считает количество зашифрованных файлов. По итогу работы этой программы создается файл data.ini , который содержит что-то вроде слепка файловой системы. Этот файл отправил обратно автору программы, на что в ответ получил: ожидайте 5-12 часов, пока создается программа дешифровщик. Однако прошло еще 3,5 часа и прислали rar-архив A351F7A2-16E9ED10.rar.zip, в котором был мой data.ini, программа дешифровки decbuild.exe и файл с ключом шифровани я keys.txt.   

 

Пароль на архивы: virus

 

Не знаю, поможет ли это создать какое-то средства расшифровки. Но для себя сделал определенные выводы и принял доп. меры защиты. 

 

Всем добра и безопасных систем.

Изменено пользователем taurus159
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Tadmin
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • nevvermind
      От nevvermind
      Добрый день,  по этой версии шифровальщика нет шансов?
       
      пароль на архив с зашифрованными " 1 "
       
       
      Downloads.rar
    • QueenBlack
      От QueenBlack
      Доброго дня.
      Пришла беда, прошу помощи.
       
         var start_date = new Date('May 26 2023 23:52:20');
          var discount_date = new Date('May 28 2023 23:52:20');
          var end_date = new Date('May 31 2023 23:52:20');
          var main_contact = '@rudecrypt';
          var second_contact = 'telegramID@rudecrypt';
          var hid = '[6243493E-BBF995AE]';
          var telegram_link = 'https://telegram.org/';
       
      Addition.txt FRST.txt crypt.7z how_to_decrypt.7z
    • xonda904009
      От xonda904009
      Поймали вирус hopeandhonest@smime.ninja. Зашифровал во всех папках...
       
      Может можно что то сделать.  Сам комп переустановил на чистый  диск.
      virus.rar
×
×
  • Создать...