lokilocker HEUR:Trojan-Ransom.win32.generic

[Юрий_Колбин]

Desktop.zip

 

Организация поймала шифровальщик.

Каспер был благополучно остановлен и запущен kavremover.
Расскажите о перспективах расшифровки.
Пароль 12345

Есть так-же образцы этой заразы, если поможет, могу выложить.

Изменено 13 ноября, 2021 пользователем Юрий_Колбин

[Юрий_Колбин]

Очень похоже на эту разновидность.

[thyrex]

Увы, никаких. Иначе бы в статье по ссылке об этом было указано.

[Юрий_Колбин]

Я анализирую историю заражений, и у меня есть подозрение, что Каспер не ловит одну из модификаций этого трояна.

Предыстория за день до шифрования. Принесли файлы с документами на второй комп, открыли (при работающем каспере), он не сругался, он не закрылся, он не удалился, и его в логах чисто и нет срабатываний, а на утро файлы тоже оказались зашифрованные этой же ночью. (windows 100% чистый, был установлен 3 дня назад). Компы в одной сети. PDP был закрыт.

Изменено 14 ноября, 2021 пользователем Юрий_Колбин

[Юрий_Колбин]

Вообщем, на основе глубокого анализа произошедшего сформировалась гипотеза: 

• есть первоисточник, который детектится как Ransom, чаще всего заражение происходит на том устройстве, где нет антивирусной защиты;
• есть "дочка", с ключом шифрования, полученным им от "мамки", в этой дочке так-же содержится дата "взрыва", совпадающая с датой взрыва "у мамки". Распространяется она через flash или общие сетевые ресурсы, и которая не детектится Каспером, при запуске делает своё грязное дело на всех компах, куда успела распространится, и в дату "срабатывания" выполняет самоликвидирование. Работает, возможно, как скрипт, а не как приложение, поэтому не определяется. При этом дочка не встраивается в автозагрузку, не создаёт tasks, не копируется в профили пользователей, не подменяет на компах фон рабочего стола, а просто шифрует файлы неким ключом и удаляется.

Вопрос к экспертам, если я найду эту тварь "дочернюю" (через глубокое сканирование удалённых файлов), возможно ли из неё извлечь ключ шифрования?

 

Готовы заплатить (вам, а не мошенникам) за решение задачи по дешифровке в пределах вменяемой суммы.

[mike 1]

19 часов назад, Юрий_Колбин сказал:

Я анализирую историю заражений, и у меня есть подозрение, что Каспер не ловит одну из модификаций этого трояна.

Какая точная версия АВПО стояла? Включен ли модуль Мониторинг системы в момент заражения? Шифрованию подверглись только сетевые папки? 

 

18 часов назад, Юрий_Колбин сказал:

Вопрос к экспертам, если я найду эту тварь "дочернюю" (через глубокое сканирование удалённых файлов), возможно ли из неё извлечь ключ шифрования?

А смысл, если мастер ключ AES накрыт публичным ключом RSA большой длины?