Cryakl/CryLock: этапы "большого пути".

отредактировано 5 May Раздел: Шифровирусы шумной толпою
Первая информация о Cryakl опубликована на securelist.ru в октябре 2014 года.
В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

- информацию о размере и расположении зашифрованных блоков,
- MD5-хэши от оригинального файла и его заголовка,
- константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
- ID жертвы,
- оригинальное имя зашифрованного файла,
- метку заражения {CRYPTENDBLACKDC}.

скорее всего, Cryakl известен с начала 2014 года

ранние версии:
ver-4.0.0.0
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 [email protected]@508370589}[email protected]

заголовок зашифрованного файла содержит оригинальное имя файла, ID, дату шифрования, электронную почту, версию шифратора + расширение файла *.cbf

известные почты:

примеры автозапуска в системе:
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma C:\Program Files\temp\WINRAR.EXE

хэши шифратора:
SHA1 83FC419FDB00EDBF35F153AC952CBBADAC701BA4
Сигнатура Win32/Filecoder.CQ [ESET-NOD32]
Размер 2412544 байт
характерное содержимое в конце зашифрованного файла:
4s0sws3in3j2.jpg
SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK - идентификатор зашифрованной системы,
28.01.2015 - дата шифрования,
gpgsh378.zip - оригинальное имя файла,
CRYPTENDBLACKDC - метка завершения шифрования файла
т.е. информация дублируется с именем зашифрованного файла
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 [email protected]@508370589}[email protected]

пример заставки рабочего стола:

расшифровка:
возможна для версии 4.0.0.0 с помощью универсального дешифратора, по некоторым расширениям зашифрованных файлов. (jpg, doc, docx, xls, xlsx)

по поздним версиям расшифровка возможна по отдельным почтам:
В начале февраля 2018г бельгийские правоохранительные органы изъяли C&C-серверы известного шифровальщика Cryakl. После этого полиция передала приватные ключи экспертам ЛК, которые обновили бесплатную утилиту RakhniDecryptor, предназначенную для восстановления зашифрованных зловредом файлов.
https://securelist.ru/the-return-of-fantomas-or-how-we-deciphered-cryakl/90409/

Комментарии

  • отредактировано 9 Mar PM
    ver-6.1.0.0
    пример зашифрованного файла:
    qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 [email protected]@168550646}[email protected]
    содержит закодированное имя файла, идентификатор зашифрованной системы, дату шифрования, электронную почту злоумышленника, версию шифратора, расширение *.cbf
    известные почты:
    возможно, их гораздо больше
    примеры автозапуска в системе:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
    C:\Program Files\1\svchost.exe

    хэши шифратора:
    SHA1 B84ECBBDE445B4CAA136365BE67D6D7C7784D261
    Размер 661563 байт
    характерное содержимое в конце зашифрованного файла:
    CRYPTSTARTDATA
    4ixcxlswf975.jpg
    CRYPTSTARTDATA - идентификатор начала шифрования,
    EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ - идентификатор зашифрованной системы,
    12.03.2015 - дата шифрования,
    6.1.0.0.b - версия шифратора
    "Правила поведения вахтеров.jpg" - оригинальное имя файла,
    CRYPTENDBLACKDC - маркер завершения шифрования файла
    пример заставки рабочего стола:
    расшифровка:
  • отредактировано 9 Mar PM
    ver-8.0.0.0
    пример зашифрованного файла:
    iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 [email protected]@155029625}[email protected]
    содержит закодированное имя файла, идентификатор зашифрованной системы, дату шифрования, электронную почту злоумышленника, версию шифратора, расширение *.cbf
    известные почты:
    возможно, их гораздо больше
    примеры автозапуска в системе:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
    C:\Program Files\xexe\info.exe

    хэши шифратора:
    SHA1 B548D423A9FAF92129F6A58A316DBF8FE51650D8
    Размер 755272 байт
    характерное содержимое в конце зашифрованного файла:
    CRYPTSTARTDATA
    7ghdksyc4kjy.jpg
    CRYPTSTARTDATA - идентификатор начала шифрования,
    ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM - идентификатор зашифрованной системы,
    30.03.2015 - дата шифрования,
    8.0.0.0 - версия шифратора
    "Правила поведения вахтеров.jpg" - оригинальное имя файла,
    CRYPTENDBLACKDC - метка завершения шифрования файла
    пример заставки рабочего стола:
    расшифровка:
  • отредактировано 9 Mar PM
    ver-CL 0.0.1.0

    пример зашифрованного файла:
    [email protected] 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 [email protected]@548191739.randomname-DJNRWAEJNQUYBFJNRVYCGKOSWZDHLP.TXB.cbf

    содержит электронную почту злоумышленника, версию шифратора, идентификатор зашифрованной системы, дату шифрования, закодированное имя файла, расширение *.cbf
    известные почты:
    возможно, их гораздо больше
    примеры автозапуска в системе:
    ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
    C:\Program Files\monitor.exe
    хэши шифратора:
    SHA1 5668E75F54CA1162C430002873678B83039A87AB
    Размер 3715072 байт
    сигнатура Win32/Filecoder.NDT [ESET-NOD32]
    характерное содержимое в конце зашифрованного файла:
    {ENCRYPTSTART}
    02r5l0h8lfjr.jpg
    {BLOCKSSTART}
    {BLOCKSEND}
    {ENCRYPTENDED}

    ENCRYPTSTART - маркер начала шифрования,
    SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD - идентификатор зашифрованной системы,
    05.05.2015 - дата шифрования,
    CL 0.0.1.0 - версия шифратора
    "Правила поведения вахтеров.jpg" - оригинальное имя файла,
    BLOCKSSTART
    BLOCKSEND
    ENCRYPTENDED - маркер завершения шифрования файла
    пример заставки рабочего стола:
    расшифровка:
  • отредактировано 13 Mar PM
    ver-CL 1.0.0.0

    пример зашифрованного файла:
    [email protected] 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 [email protected]@284834316.randomname-HGCVMANYIQXEKPUXBDGIKMNPQRSTTU.UUV.cbf
    видим, что закодированное имя перемещено в конец заголовка.

    содержит электронную почту злоумышленника, версию шифратора, идентификатор зашифрованной системы, дату шифрования, закодированное имя файла, расширение *.cbf
    известные почты:

    возможно, их гораздо больше
    примеры автозапуска в системе:
    ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
    C:\Program Files\simpleinf.exe
    как в предыдущей версии 0.0.1.0, запись в реестре с добавлением в автозапуск файла шифратора появляется не сразу.

    хэши шифратора:
    SHA1 F2F5BF29EC226457701FC0C02BF0CE63F9168C81
    Размер 3784704 байт
    сигнатура Win32/Filecoder.NDT [ESET-NOD32]
    сигнатура Trojan.Encoder.1284
    характерное содержимое в конце зашифрованного файла:

    {ENCRYPTSTART}
    akavcgd780z5.jpg
    {BLOCKSSTART}
    {BLOCKSEND}
    {ENCRYPTENDED}

    ENCRYPTSTART - маркер начала шифрования,
    NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX - идентификатор зашифрованной системы,
    15.07.2015 - дата шифрования,
    CL 1.0.0.0 - версия шифратора
    "Правила поведения вахтеров.jpg" - оригинальное имя файла,
    BLOCKSSTART
    BLOCKSEND
    ENCRYPTENDED - маркер завершения шифрования файла
    пример заставки рабочего стола:
    a6wt31id6ofu.jpg
    расшифровка:

    расшифровка возможна для указанных почт:
  • отредактировано 9 Mar PM
    +
    ver-CL 1.0.0.0u

    пример зашифрованного файла:
    rfaa3s2ssup6.jpg
    содержит электронную почту злоумышленника, версию шифратора, идентификатор зашифрованной системы, дату шифрования, закодированное имя файла, расширение *.cbf
    известные почты:
    [email protected]
    [email protected]_graf1 могут быть расшифрованы!
    [email protected]_mod могут быть расшифрованы!
    [email protected]_mod2 могут быть расшифрованы!

    характерное содержимое в конце зашифрованного файла:
    {ENCRYPTSTART}
    h8egmjz2utos.jpg
    BLOCKSSTART
    BLOCKSEND
  • отредактировано 9 Mar PM
    ver-CL 1.1.0.0

    пример зашифрованного файла:
    [email protected] 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 [email protected]@447462257.randomname-MSYEKQWBHMSXDJPTZFLQWCHMSYDJPU.AGM.cbf
    видим, что закодированное имя перемещено в конец заголовка.

    содержит электронную почту злоумышленника, версию шифратора, идентификатор зашифрованной системы, дату шифрования, закодированное имя файла, расширение *.cbf
    известные почты:

    возможно, их гораздо больше
    примеры автозапуска в системе:
    ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
    C:\Program Files\1C\карточка предприятия.exe

    как в предыдущей версии 0.0.1.0, запись в реестре с добавлением в автозапуск файла шифратора появляется не сразу.

    хэши шифратора:
    SHA1 512E5DA8355BA55C2C846A885896A09C810AD2D5
    Размер 447565 байт
    сигнатура Win32/Filecoder.NDT [ESET-NOD32]
    характерное содержимое в конце зашифрованного файла:
    {ENCRYPTSTART}
    nb7e7isns3ib.jpg
    {BLOCKSSTART}
    {BLOCKSEND}
    {ENCRYPTENDED}

    ENCRYPTSTART - маркер начала шифрования,
    TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI - идентификатор зашифрованной системы,
    06.08.2015 - дата шифрования,
    CL 1.1.0.0 - версия шифратора
    "Правила поведения вахтеров.jpg" - оригинальное имя файла,
    BLOCKSSTART
    BLOCKSEND
    ENCRYPTENDED - маркер завершения шифрования файла
    пример заставки рабочего стола:
    rl2d52kb4q5p.jpg

    расшифровка:
  • отредактировано 13 Mar PM
    ver-CL 1.2.0.0

    пример зашифрованного файла:
    [email protected] 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 [email protected]@497267438.randomname-HOUASYEKQWDIOUAGMSZEKRWCJOUAGN.SZF.cbf
    видим, что закодированное имя перемещено в конец заголовка.

    содержит электронную почту злоумышленника, версию шифратора, идентификатор зашифрованной системы, дату шифрования, закодированное имя файла, расширение *.cbf
    известные почты:

    возможно, их гораздо больше
    примеры автозапуска в системе:
    ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
    C:\Program Files\service.exe

    как в предыдущей версии 0.0.1.0, запись в реестре с добавлением в автозапуск файла шифратора появляется не сразу.

    хэши шифратора:

    SHA1 7CAE4C871F69DA50EE310A27FC66E0964FB96C00
    Размер 416256 байт
    сигнатура Trojan.Encoder.567

    характерное содержимое в конце зашифрованного файла:

    {ENCRYPTSTART}
    24s8626ogzps.jpg
    {BLOCKSSTART}
    {BLOCKSEND}
    {ENCRYPTENDED}

    между маркером начала шифрования и блоком, связанным с заголовком зашифрованного файла добавлен блок данных, очевидно связанный с ключом шифрования.

    ENCRYPTSTART - маркер начала шифрования,
    YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC - идентификатор зашифрованной системы,
    29.04.2016 - дата шифрования,
    CL 1.2.0.0 - версия шифратора
    "Правила поведения вахтеров.jpg" - оригинальное имя файла,
    BLOCKSSTART
    BLOCKSEND
    ENCRYPTENDED - маркер завершения шифрования файла
    пример заставки рабочего стола:

    расшифровка:
  • отредактировано 13 Mar PM
    ver-CL 1.3.0.0
    пример зашифрованного файла:
    [email protected] 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 [email protected]@033014428.randomname-AKPUUAFKPUZEINSXCHMRWAFKPUZDIN.TXC.cbf
    известные почты:
    [email protected]
    ! cryptolo[email protected] может быть расшифрована!
    примеры автозапуска в системе:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool
    C:\Program Files\crjakl_1_3.exe
    хэши:
    SHA1: 32938B0070971FAA2527C68FC441A2A5CDF207A1
    размер: 477696 байт
    сигнатура: Win32/Filecoder.EQ
    характерное содержимое в конце зашифрованного файла:
    {ENCRYPTSTART}
    r1gllwdc5u1k.jpg
    {ENCRYPTENDED}

    ver-CL 1.3.1.0

    пример зашифрованного файла:
    k6b5cju7r7id.jpg

    содержит электронную почту злоумышленника, версию шифратора, идентификатор зашифрованной системы, дату шифрования, закодированное имя файла, расширение рандомное из 3 символов (вместо "cdf")
    (в предыдущей версии CL 1.3.0.0 расширение оставалось еще *.cdf)
    известные почты:
    примеры автозапуска в системе:
    Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
    00F5-A4D1 C:\Program Files\WinRar\резюме Сергей Коробов.exe

    хэши шифратора:

    SHA1 66D1D030C93AD09B3D78F091E69353DC2129ECF1
    Размер 213509 байт
    сигнатура Win32/Filecoder.EQ

    характерное содержимое в конце зашифрованного файла:

    {ENCRYPTSTART}
    2o6z3r1b4i6n.jpg
    {ENCRYPTENDED}
    между маркером начала шифрования и блоком, связанным с заголовком зашифрованного файла добавлен блок данных, очевидно связанный с ключом шифрования.

    ENCRYPTSTART - маркер начала шифрования,
    YDJQVCHNTZFLRWCJOUAFLSXDJOVBGMSYEKPV - идентификатор зашифрованной системы,
    11.08.2016 - дата шифрования,
    CL 1.3.1.0 - версия шифратора
    "Правила поведения вахтеров.jpg" - оригинальное имя файла,
    ENCRYPTENDED - маркер завершения шифрования файла
    пример заставки рабочего стола:

    расшифровка:
  • отредактировано 11 Mar PM
    далее идут: fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)

    пример зашифрованного файла:
    [email protected] 1.4.0.0.id-3908370012-23.03.2018 [email protected]@539726651.fname-Правила поведения вахтеров.jpg.fairytail

    [email protected] 1.4.1.0.id-3908370012-22.03.2018 [email protected]@139878208.fname-Правила поведения вахтеров.jpg.fairytail

    известные почты:

    примеры автозапуска в системе:
    HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\3908370012
    C:\DOCUME~1\user\LOCALS~1\Temp\blackdragon43.exe
    хэши шифратора:
    SHA1: 6950304DE5791D0B967E3FE7A17398792FAA5165
    размер: 135680 байт

    характерное содержимое в конце зашифрованного файла:
    bnb82gu91iz8.jpg

    расшифровка:

    версии cl 1.4.0.0, cl 1.4.1.0 могут быть расшифрованы с с помощью дешифратора J.Gourley:
    hyhxchvth0xb.jpg





  • отредактировано 9 Mar PM
    далее идет: doubleoffset (CL 1.5.1.0)

    пример зашифрованного файла:
    [email protected] 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

    известные почты:
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    sha256: 986468a71261ee6f0adb673926643842693b930c8fc3cab4f2a754ed05b80373
    [email protected]
    sha256: 735abbb3b5a1e7eeb625696c92c08ca4cfda110c1f6627524ade4f368a311bc0
    [email protected]
    sha256: 7e8d0b12b43d6e3f37f58a7daa560f95f84d8b92d86864c085f653ecde3a2c11
    [email protected]
    [email protected]
    sha256: 482c6872164fb3de06264a4bfe492e02b1e645e73c2e58dc9ed03413200c6a1d
    [email protected]
    [email protected]
    ...

    примеры автозапуска в системе:
    HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\1747396157
    C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe
    хэши шифратора:
    SHA1: 6DC898D755EE27DB5293B6753ADE172F2337236F
    размер: 89600 байт
    сигнатура: Win32/Filecoder.EQ

    характерное содержимое в конце зашифрованного файла:
    {ENCRYPTSTART}
    9btpiugrbjtz.jpg
    {ENCRYPTENDED}
    расшифровка:


  • отредактировано 9 Mar PM
    CS 1.6.0.0

    пример зашифрованного файла:

    известные почты:

    примеры автозапуска в системе:
    хэши шифратора:
    характерное содержимое в конце зашифрованного файла:

    CS 1.7.0.1
    пример зашифрованного файла:
    desktop.ini[CS 1.7.0.1][[email protected]].git
    известные почты:
    [email protected]
    SHA256:885e8063fe9689bec0b1dae96d3431a51feb800515bba38a58c8767783117486
    примеры автозапуска в системе:
    хэши шифратора:
    характерное содержимое в конце зашифрованного файла:
    ENCRYPTSTART}
    rj96auyk08y6.jpg
    }{ENCRYPTENDED}

    CS 1.8.0.0
    пример зашифрованного файла:
    branding.xml[[email protected]][2094653670-1579267651].whv
    известные почты:
    [email protected]
    [email protected]
    SHA256:7c7a469abf068c64a865a94b4c6976a7f87db646c4714eece6a17a83fcbd8a4b
    [email protected]
    SHA256:56b33abb48673a6ceeaced9567d4e3a4538a8a415663430a87eb49a9fc25b1dd

    примеры автозапуска в системе:
    хэши шифратора:
    характерное содержимое в конце зашифрованного файла:
    {ENCRYPTSTART}
    yiokutacvi02.jpg
    {ENCRYPTENDED}


  • отредактировано 15 May PM
    +
    новый вариант 1.9.0.0
    Опознан как

    sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

    https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

    пример зашифрованного файла:
    VTS_01_0.BUP[[email protected]][special].[10ABB6A7-867BCEF7]

    известные почты:
    записка о выкупе:
    ekqnx01unr9o.jpg

    характерное содержимое в конце зашифрованного файла:

    cnpjrtjr4gxi.png

    хм...
    это похоже, на оболочку шифратора.
    jhcoipjcront.jpg

    Update:

    По версии 1.9.0.0 Cryakl/CryLock есть расшифровка у thyrex






Войдите или Зарегистрируйтесь чтобы комментировать.