Buen día, primero que nada soy nuevo y no se si es el lugar correcto para poner este post, de no ser así pido disculpas y lo muevan donde corresponde.
Bueno tal como dice el titulo tengo un equipo infectado con un ransomware el cual ya pude identificar y es el Cryakl versión 1.3.1.0, el equipo en cuestión es un Windows Server 2008 Enterprise.
Me gustaría saber si tienen algún tipo de información al respecto de como desencriptar los archivos encriptados por este ransomware.
En otra ocacion ya me encontré con otro ransomware llamado LeChiffre , el cual pude por medio de un programa desencrptar los archivos encriptados y recuperar la información, pero con el Cryakl no pude encontrar nada que me ayude a desencriptar.
Ya probe con el Rannoh Decryptor de kaspersky que teóricamente funciona con este ransomware pero no pude , ya que me pide un archivo encriptado y el original , y apesar de poner los archivos correctamente no me hace el scan.
Cualquier ayuda sera bienvenida.
Muchas gracias.
Ransomware cryakl
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ransomware cryakl
Sobre el Cryakl versión 1.3.1.0 sería muy posible si no se tratara de un servidor, pues Microsoft equipa a todos los windows de un ShadowCopy, que hace copias de seguridad de los ficheros, pero en los servidores no lo activa, y si el usuario no lo ha hecho, se queda sin copia a disponer, igual que ahora cin el Windows 10, que si en los terminales lo activa...
Nos dice que ya ha probado el Rannoh Decryptor y no le ha ido bien, y es quizas por la version del ransomware, que cada día hacen "mejoras"
De todas formas voy a ver...
[b]Pues mira lo siguiente:[/b]
El virus se centra principalmente en los formatos más populares para realizar cuanto más daño sea posible. Además, algunas versiones de este virus adjuntan la extensión .cryakl a los archivos corruptos, por lo que puedes diferenciar entre los archivos afectados y los no afectados. Ya que el malware Cryakl emplea una configuración de dos códigos matemáticos relacionados, parece que no hay modo de recuperar tus archivos excepto pagando. Sin embargo, puedes saltarte esta opción, ya que los expertos de seguridad de Kaspersky han lanzado un Cryakl Decryptor gratuito.:
http://support.kaspersky.com/viruses/disinfection/8547#block1
Supongo que es donde ya habias llegado tú, y si ello no te ha funcionado, será por la versión que te ha afectado.
Y si no lo has probado, mira si los del CERT pueden estudiarlo y proporcionarte gratuitamente un descifrador gratuito, como han hecho para otros ransomwareS como el CRYPTOLOCKER:
http://blog.satinfo.es/2016/muy-importante-descifrado-de-ficheros-cifrados-por-ransomwares-especialmente-con-el-cryptolocker-del-falso-mail-de-endesa/
Y si tuvieras el ejecutable que te infectó, envianoslo para pasar a controlarlo.
Y comentanos el resultado, gracias
Suerte !
saludos
ms, 15-3-2017
Nos dice que ya ha probado el Rannoh Decryptor y no le ha ido bien, y es quizas por la version del ransomware, que cada día hacen "mejoras"
De todas formas voy a ver...
El virus se centra principalmente en los formatos más populares para realizar cuanto más daño sea posible. Además, algunas versiones de este virus adjuntan la extensión .cryakl a los archivos corruptos, por lo que puedes diferenciar entre los archivos afectados y los no afectados. Ya que el malware Cryakl emplea una configuración de dos códigos matemáticos relacionados, parece que no hay modo de recuperar tus archivos excepto pagando. Sin embargo, puedes saltarte esta opción, ya que los expertos de seguridad de Kaspersky han lanzado un Cryakl Decryptor gratuito.:
Supongo que es donde ya habias llegado tú, y si ello no te ha funcionado, será por la versión que te ha afectado.
Y si no lo has probado, mira si los del CERT pueden estudiarlo y proporcionarte gratuitamente un descifrador gratuito, como han hecho para otros ransomwareS como el CRYPTOLOCKER:
Y si tuvieras el ejecutable que te infectó, envianoslo para pasar a controlarlo.
Y comentanos el resultado, gracias
Suerte !
saludos
ms, 15-3-2017
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ransomware cryakl
Recibido un fichero anomalo, que posiblemente esté cifrado por el ransomware que le ocupa, vemos que no se trata de un ejecutable como le pediamos:
email-drakosha_new@aol.com.ver-CL 1.3.1.0.id-@@@@@66CF-9FA2.randomname-XZWEHKMJMORNQTVSVXAWZCEBEGJLIL.NQS
Vemos lo indicado al analizarlo y ver que no empieza poor MZ, como debería ser.
De todas formas, gracias por su colaboración al enviarnos el fichero.
SALUDOS
ms, 15-3-2017
Vemos lo indicado al analizarlo y ver que no empieza poor MZ, como debería ser.
De todas formas, gracias por su colaboración al enviarnos el fichero.
SALUDOS
ms, 15-3-2017
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Ransomware cryakl
Buen día, como te había comentado el RannohDecryptor de Kaspersky no me funciono , ya me puse en contacto con el OSI, para ver si me pueden brindar alguna ayuda.
Los archivos encriptados tienen todos el nombre cambiado como el que les envie , ninguno tiene la extencion o en el nombre el cryakl , la forma de identificar el ransomware lo hice mediantehttps://id-ransomware.malwarehunterteam.com , ademas de que buscando especificaciones de otros ransomware ninguno coinicida mas que el Cryakl.
Con respecto al ejecutable , no lo logre encontrar, en una de esas me pueden ayudar con eso.
Desde que se infecto , 3 días aproximadamente no se volvió a encriptar ningún archivos mas, fueron todos el mismo día y a la misma hora , pero desde ese momento volvió a funcionar, busque en la carpeta %temp% para ver si encontraba algo raro pero no pude detectar nada fuera de lo comun y en el registro busque en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce pero no había ninguna aplicación desconocida ejecutándose en el inicio.
Desde ya muchas gracias , cualquier ayuda que me brinde el OSI la actualizare por aquí.
Saludos.
Los archivos encriptados tienen todos el nombre cambiado como el que les envie , ninguno tiene la extencion o en el nombre el cryakl , la forma de identificar el ransomware lo hice mediante
Con respecto al ejecutable , no lo logre encontrar, en una de esas me pueden ayudar con eso.
Desde que se infecto , 3 días aproximadamente no se volvió a encriptar ningún archivos mas, fueron todos el mismo día y a la misma hora , pero desde ese momento volvió a funcionar, busque en la carpeta %temp% para ver si encontraba algo raro pero no pude detectar nada fuera de lo comun y en el registro busque en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce pero no había ninguna aplicación desconocida ejecutándose en el inicio.
Desde ya muchas gracias , cualquier ayuda que me brinde el OSI la actualizare por aquí.
Saludos.
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Ransomware cryakl
Pues mira de pasar el SPROCES, pulsa en SALIR y posteanos el informe resultante, donde se verá las claves de lanzamiento, a ver si vemos cual es y te podemos pedir el fichero concreto
Gracias por tu colaboracion
saludos
ms, 16-3-2017
Gracias por tu colaboracion
saludos
ms, 16-3-2017
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online