Encrypt 1.3.1.1.vis / drakosha2 (разновидность Cryakl)

Discussion in 'Реверсинг' started by binarymaster, 3 Apr 2017.

  1. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,311
    Likes Received:
    8,659
    Reputations:
    114
    Сегодня на сервере неизвестное лицо запустило данный шифровальщик, нацелив его на директорию веб сервера, в результате чего все скрипты и другие файлы были зашифрованы.

    Интересует возможность расшифровки файлов, путём нахождения алгоритма работы оригинального шифровальщика - прилагаю его по ссылке: http://rgho.st/8LG6qhM96. Судя по ресурсам внутри исполняемого файла, он с графическим интерфейсом, и не станет ничего шифровать без нажатия кнопки. Но всё равно, запускать его лучше в виртуальной машине.

    Зашифрованные файлы создаются с именами вот такого вида:
    Code:
    email-drakosha_new@aol.com.ver-CL 1.3.1.0.id-@@@@@5639-FBD4.randomname-ABCEFGHIJKLMMNOOPQRSTUVWXYZAAB.CDE.fff
    Каждый файл содержит в себе незашифрованную часть, так можно понять, каким он был раньше.

    В конце файла встречаются такие сигнатуры:
    Code:
    {ENCRYPTSTART}{00914822313525420 ... 69083108104127122114126162107023238028146085180093160105225}{@@@@@5639-FBD4}{11946}{CL 1.3.1.0}{index.html}{D8E4AB51B53EF9FF80E0EECFE805C3DB}{250}{44}{109}{142}{185}{210}{236}{134}{175}{177}{218}{172}{246}{232}{129}{171}{100}{14}{55}{41}{227}{21}{166}{72}{121}{107}{253}{46}{208}{122}{155}{133}{15}{56}{242}{147}{189}{167}{48}{138}{100}{237}{6}{9}{146}{195}{117}{23}{56}{163}{212}{238}{120}{177}{123}{37}{102}{120}{10}{67}{77}{231}{24}{51}{108}{126}{32}{81}{35}{197}{254}{248}{146}{195}{125}{39}{112}{122}{196}{198}{87}{153}{83}{244}{54}{64}{209}{11}{229}{142}{208}{218}{100}{157}{79}{9}{58}{60}{6}{71}{9}{81}{195}{28}{222}{208}{1}{164}{6}{40}{202}{27}{5}{175}{240}{50}{107}{164}{229}{23}{96}{161}{227}{36}{109}{225}{75}{125}{31}{112}{106}{28}{109}{128}{209}{251}{77}{127}{73}{162}{108}{38}{127}{154}{59}{133}{95}{33}{106}{116}{30}{103}{89}{19}{92}{127}{32}{106}{84}{6}{70}{143}{175}{210}{140}{254}{71}{90}{92}{157}{175}{194}{11}{37}{47}{121}{139}{109}{174}{241}{19}{92}{118}{72}{138}{164}{190}{255}{34}{244}{53}{87}{57}{131}{149}{167}{240}{11}{29}{94}{120}{90}{156}{190}{168}{233}{251}{238}{47}{73}{35}{108}{127}{161}{234}{252}{7}{152}{162}{124}{174}{176}{146}{211}{221}{183}{233}{251}{197}{246}{256}{210}{11}{253}{207}{121}{3}{156}{198}{247}{48}{89}{131}{196}{253}{46}{120}{161}{202}{12}{61}{118}{184}{241}{26}{156}{205}{254}{72}{121}{178}{243}{37}{78}{143}{193}{242}{51}{108}{158}{223}{24}{66}{179}{61}{206}{128}{50}{204}{6}{224}{226}{180}{150}{96}{58}{252}{182}{103}{17}{163}{101}{47}{192}{98}{236}{133}{39}{209}{106}{4}{174}{72}{233}{163}{61}{207}{120}{34}{228}{134}{39}{177}{83}{236}{126}{32}{194}{67}{237}{135}{32}{202}{92}{237}{143}{41}{195}{92}{38}{208}{130}{35}{173}{95}{249}{146}{140}{14}{144}{33}{171}{44}{206}{88}{217}{115}{253}{118}{8}{32}{178}{210}{83}{245}{127}{256}{154}{28}{165}{55}{209}{90}{236}{126}{255}{153}{59}{236}{142}{16}{153}{43}{173}{54}{192}{66}{211}{133}{23}{160}{50}{188}{85}{239}{121}{2}{164}{46}{175}{73}{211}{92}{246}{127}{9}{163}{44}{182}{144}{10}{131}{21}{142}{56}{194}{67}{197}{79}{192}{58}{171}{45}{174}{56}{186}{59}{213}{78}{200}{82}{203}{61}{198}{64}{194}{75}{197}{70}{208}{82}{203}{85}{206}{72}{210}{67}{189}{70}{192}{114}{243}{117}{238}{120}{2}{115}{245}{142}{248}{122}{3}{109}{254}{120}{241}{219}{93}{231}{120}{2}{140}{29}{159}{49}{202}{84}{222}{119}{1}{138}{20}{166}{39}{201}{83}{29}{174}{64}{194}{83}{221}{102}{256}{146}{19}{181}{63}{200}{114}{252}{133}{31}{169}{50}{196}{78}{215}{105}{251}{132}{38}{176}{57}{219}{101}{238}{128}{10}{131}{37}{166}{D96AE6216562E5F5CF57CA52203E2CDF}{25615}{ENCRYPTENDED}
    Там же есть старое имя файла.

    Зеркало, если rghost недоступен:
    http://zalil.su/7320304
     
    #1 binarymaster, 3 Apr 2017
    Last edited: 3 Apr 2017
    Olivia Dunham likes this.
  2. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,311
    Likes Received:
    8,659
    Reputations:
    114
    Olivia Dunham likes this.
  3. #colorblind

    #colorblind Elder - Старейшина

    Joined:
    31 Jan 2014
    Messages:
    579
    Likes Received:
    203
    Reputations:
    36
    Либо админ, либо тебя подломили. Прога запакована при помощи Armadillo. Интерфейс прикольный.
    [​IMG]
     
  4. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,311
    Likes Received:
    8,659
    Reputations:
    114
    Зашли через удалённый рабочий стол в незапароленную учётку, созданную другим админом... (плохие локальные политики) а я не углядел, да. :oops:
     
    Olivia Dunham likes this.
  5. #colorblind

    #colorblind Elder - Старейшина

    Joined:
    31 Jan 2014
    Messages:
    579
    Likes Received:
    203
    Reputations:
    36
    Крч кода до жопы, используется Biglib+вероятно rsa для шифрования данных и перевода в текстовый вид, начинается тут:
    0045FD30 >/$ 55 PUSH EBP ; Unit1.sub_0045FD30

    работы до жопы и не думаю, что я осилю, но чисто теоретически дешифровать можно будет, правда нужно будет не только обратить алгоритм, но и сделать подобие брута. В целом, как и с другими шифровальщиками - дешевле будет заплатить, чем делать эту работу.
     
    CRACK211, TOX1C and binarymaster like this.
  6. CRACK211

    CRACK211 Well-Known Member

    Joined:
    16 Sep 2009
    Messages:
    679
    Likes Received:
    647
    Reputations:
    4
    А сколько просят хоть? на одном форуме читал что используеться RSA 4096 вроде как.
     
  7. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,311
    Likes Received:
    8,659
    Reputations:
    114
    Пока не писал этому "дракоше" на почту, но наверно напишу позже.
     
    Olivia Dunham likes this.
  8. stos

    stos Member

    Joined:
    3 Apr 2017
    Messages:
    32
    Likes Received:
    13
    Reputations:
    0
    где то видел что 40к просит. Не стал бы платить....

    http://foros.zonavirus.com/viewtopic.php?t=61720

    http://support.kaspersky.com/viruses/disinfection/8547#block1 - сдесь RannohDecryptor.zip Cryakl

    http://blog.satinfo.es/2016/muy-imp...con-el-cryptolocker-del-falso-mail-de-endesa/ (Мы знаем , что они решили случаи cryptolocker, следует рассматривать с другими случаями тока CRYPTXXX (теперь называется UltraCrypter) как последняя версией RSA4096 или полезность Антивирус расшифровывает)
     
    #8 stos, 3 Apr 2017
    Last edited: 3 Apr 2017
  9. #colorblind

    #colorblind Elder - Старейшина

    Joined:
    31 Jan 2014
    Messages:
    579
    Likes Received:
    203
    Reputations:
    36
    Ну в таком случае, если при реализации алгоритма шифрования не было допущено критических ошибок, то это просто забей. С современными технологиями даже RSA512 факторизовали лишь в нескольких случаях (WinRar, ASProtect(но это не точно, тут говорят об утечке сырков), uvScreenCamera). Довольное серьезным кластерам на 512 потребуется неск месяцев. Так что пишите автору зверька)
     
  10. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,311
    Likes Received:
    8,659
    Reputations:
    114
    Olivia Dunham likes this.
  11. CRACK211

    CRACK211 Well-Known Member

    Joined:
    16 Sep 2009
    Messages:
    679
    Likes Received:
    647
    Reputations:
    4
    Есть ли додвижки с шифровальшиком ? Новости?
     
  12. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,311
    Likes Received:
    8,659
    Reputations:
    114
    Пока нет. Скинул @Felis-Sapiens ссылку на тему, он сказал, что посмотрит.

    Сейчас ещё пытаемся восстановить данные со старого диска, что-то есть, но пока далеко не всё.
     
  13. Triton_Mgn

    Triton_Mgn Well-Known Member

    Joined:
    6 Jul 2015
    Messages:
    3,396
    Likes Received:
    4,654
    Reputations:
    41
    Если даже будет и не все, со временем восстановится трудами, но в очередной раз был дан умопомрачительный урок когда подох ачат, и Егор+++ всяко снимает бекапы постоянно, надо тоже так делать, а админам твоим претензию дать, наверняка на серваке шифранулся не только 3wifi. Заставить их снимать бекап как можно чаще, без ущерба работы сервера.
     
    uzeerpc, CRACK211, Payer and 5 others like this.
  14. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,311
    Likes Received:
    8,659
    Reputations:
    114
    Написал, ответили на русском языке. Скидку не сделали.

    http://prnt.sc/es8jkw
     
    Olivia Dunham likes this.
  15. Triton_Mgn

    Triton_Mgn Well-Known Member

    Joined:
    6 Jul 2015
    Messages:
    3,396
    Likes Received:
    4,654
    Reputations:
    41
    Тогда не стоит связываться.
    Они как бы не в курсе, какой сервер поломали.
    Мы восстановим все трудами, ..., я считаю так.. За нами не заржавеет.
    40 - тысяч - это пиздец, поработаем -нагоним, передавай привет админам
    Виноват не чисто админ 3wifi а олух, я же говорил давай перенесем, все есть для этого.
     
    #15 Triton_Mgn, 4 Apr 2017
    Last edited: 4 Apr 2017
    uzeerpc, Veil, Mednik and 3 others like this.
  16. #colorblind

    #colorblind Elder - Старейшина

    Joined:
    31 Jan 2014
    Messages:
    579
    Likes Received:
    203
    Reputations:
    36
    Уж не знаю, что у вас там было, но поддерживаю предыдущего оратора. Пусть эти VX'eры сосут хуй, а не 40к. Ну и вам урок тоже, по поводу учеток, резервного копирования и выключения теневых копий на серваке ;-)
     
  17. CRACK211

    CRACK211 Well-Known Member

    Joined:
    16 Sep 2009
    Messages:
    679
    Likes Received:
    647
    Reputations:
    4
    Кто то иппатеку решил таким образом оплачивать. Сумма не одекватная. До чего кризис людей довёл
     
    uzeerpc and binarymaster like this.
  18. Mumu

    Mumu Member

    Joined:
    28 Mar 2017
    Messages:
    45
    Likes Received:
    48
    Reputations:
    0
    binarymaster likes this.
  19. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,311
    Likes Received:
    8,659
    Reputations:
    114
    Вторую ссылку находил, первую ещё нет.

    Странно, что нигде нет программы-расшифровщика, пусть даже с брутфорсом, который займёт время.
     
    Olivia Dunham likes this.
  20. Mumu

    Mumu Member

    Joined:
    28 Mar 2017
    Messages:
    45
    Likes Received:
    48
    Reputations:
    0
    decryptor'ы выпускают быстро, если код гомно (разрабы ложанули, ключ открыто прописали и т.д.). Это уже не 1-ая волна, код поправили, мне кажется если и будет decryptor, то не скоро.