Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Trojan-Ransom.Win32.Cryakl @rudecrypt зашифровал все файлы xlsx, pdf, zip, 1cd, и т.д.

taurus159
 Share Подписчики 2

Рекомендуемые сообщения

taurus159

taurus159 0

Опубликовано
Опубликовано (изменено)

21.04.2023 во внерабочее время злоумышленник (или бот злоумышленника) смог зайти под учетной записью удаленного пользователя (без дополнительных привилегий), приостановил работу KIS и выполнил зловредный код по шифрованию.

Обнаружили беду только сегодня 24.04.2023. Также были зашифрованы и резервные копии самой ОС и базы данных 1С.

 

На управление работой антивируса теперь установлен отдельный пароль и система просканирована и очищена от зловреда. Прошу помощи в расшифровке файлов.

 

Судя по имени файла подсказке how_to_decrypt.hta и по содержимому в зашифрованных файлах {ENCRYPTSTART} и {ENCRYPTENDED} - это Trojan-Ransom.Win32.Cryakl версии 2.0.0.0.

 

Пример файла и логи FRST прикладываю:

 

how_to_decrypt.hta.zipFRST.zip

encypted sample.zip

Изменено пользователем taurus159
Ссылка на сообщение
Поделиться на другие сайты
taurus159

taurus159 0

Опубликовано
  • Автор
Опубликовано (изменено)

Связался с владельцем шифровальщика по Телеграму @rudecrypt. Сначала долго не отвечали (часа 4), затем запросили стандартные $2000 и на встречное предложение снова не было долго ответа. Общение, кстати на русском. К концу дня сошлись на цене в $400 в криптовалюте. После перевода биткойна в эквиваленте оговоренной суммы, прислали программу-сканнер Search keys 3.0.exe.zip, которая сканирует все диски и считает количество зашифрованных файлов. По итогу работы этой программы создается файл data.ini , который содержит что-то вроде слепка файловой системы. Этот файл отправил обратно автору программы, на что в ответ получил: ожидайте 5-12 часов, пока создается программа дешифровщик. Однако прошло еще 3,5 часа и прислали rar-архив A351F7A2-16E9ED10.rar.zip, в котором был мой data.ini, программа дешифровки decbuild.exe и файл с ключом шифровани я keys.txt.   

 

Пароль на архивы: virus

 

Не знаю, поможет ли это создать какое-то средства расшифровки. Но для себя сделал определенные выводы и принял доп. меры защиты. 

 

Всем добра и безопасных систем.

Изменено пользователем taurus159
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • nevvermind
      Cryakl / Crylock
      От nevvermind
      Добрый день,  по этой версии шифровальщика нет шансов?
       
      пароль на архив с зашифрованными " 1 "
       
       
      Downloads.rar
    • QueenBlack
      Шифровальщик [@rudecrypt]
      От QueenBlack
      Доброго дня.
      Пришла беда, прошу помощи.
       
         var start_date = new Date('May 26 2023 23:52:20');
          var discount_date = new Date('May 28 2023 23:52:20');
          var end_date = new Date('May 31 2023 23:52:20');
          var main_contact = '@rudecrypt';
          var second_contact = 'telegramID@rudecrypt';
          var hid = '[6243493E-BBF995AE]';
          var telegram_link = 'https://telegram.org/';
       
      Addition.txt FRST.txt crypt.7z how_to_decrypt.7z
    • xonda904009
      [РАСШИФРОВАНО] [hopeandhonest@smime.ninja]
      От xonda904009
      Поймали вирус hopeandhonest@smime.ninja. Зашифровал во всех папках...
       
      Может можно что то сделать.  Сам комп переустановил на чистый  диск.
      virus.rar
×
×
  • Создать...