Ransomware cryakl

Responder
D1n4m1c
Mensajes: 3
Registrado: 15 Mar 2017, 15:20

Ransomware cryakl

Mensaje por D1n4m1c » 15 Mar 2017, 15:30

Buen día, primero que nada soy nuevo y no se si es el lugar correcto para poner este post, de no ser así pido disculpas y lo muevan donde corresponde.

Bueno tal como dice el titulo tengo un equipo infectado con un ransomware el cual ya pude identificar y es el Cryakl versión 1.3.1.0, el equipo en cuestión es un Windows Server 2008 Enterprise.

Me gustaría saber si tienen algún tipo de información al respecto de como desencriptar los archivos encriptados por este ransomware.

En otra ocacion ya me encontré con otro ransomware llamado LeChiffre , el cual pude por medio de un programa desencrptar los archivos encriptados y recuperar la información, pero con el Cryakl no pude encontrar nada que me ayude a desencriptar.

Ya probe con el Rannoh Decryptor de kaspersky que teóricamente funciona con este ransomware pero no pude , ya que me pide un archivo encriptado y el original , y apesar de poner los archivos correctamente no me hace el scan.

Cualquier ayuda sera bienvenida.

Muchas gracias.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Ransomware cryakl

Mensaje por msc hotline sat » 15 Mar 2017, 16:10

Sobre el Cryakl versión 1.3.1.0 sería muy posible si no se tratara de un servidor, pues Microsoft equipa a todos los windows de un ShadowCopy, que hace copias de seguridad de los ficheros, pero en los servidores no lo activa, y si el usuario no lo ha hecho, se queda sin copia a disponer, igual que ahora cin el Windows 10, que si en los terminales lo activa...



Nos dice que ya ha probado el Rannoh Decryptor y no le ha ido bien, y es quizas por la version del ransomware, que cada día hacen "mejoras"



De todas formas voy a ver...



[b]Pues mira lo siguiente:[/b]





El virus se centra principalmente en los formatos más populares para realizar cuanto más daño sea posible. Además, algunas versiones de este virus adjuntan la extensión .cryakl a los archivos corruptos, por lo que puedes diferenciar entre los archivos afectados y los no afectados. Ya que el malware Cryakl emplea una configuración de dos códigos matemáticos relacionados, parece que no hay modo de recuperar tus archivos excepto pagando. Sin embargo, puedes saltarte esta opción, ya que los expertos de seguridad de Kaspersky han lanzado un Cryakl Decryptor gratuito.:



http://support.kaspersky.com/viruses/disinfection/8547#block1



Supongo que es donde ya habias llegado tú, y si ello no te ha funcionado, será por la versión que te ha afectado.



Y si no lo has probado, mira si los del CERT pueden estudiarlo y proporcionarte gratuitamente un descifrador gratuito, como han hecho para otros ransomwareS como el CRYPTOLOCKER:



http://blog.satinfo.es/2016/muy-importante-descifrado-de-ficheros-cifrados-por-ransomwares-especialmente-con-el-cryptolocker-del-falso-mail-de-endesa/



Y si tuvieras el ejecutable que te infectó, envianoslo para pasar a controlarlo.





Y comentanos el resultado, gracias



Suerte !



saludos



ms, 15-3-2017

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Ransomware cryakl

Mensaje por msc hotline sat » 15 Mar 2017, 17:23

Recibido un fichero anomalo, que posiblemente esté cifrado por el ransomware que le ocupa, vemos que no se trata de un ejecutable como le pediamos:



email-drakosha_new@aol.com.ver-CL 1.3.1.0.id-@@@@@66CF-9FA2.randomname-XZWEHKMJMORNQTVSVXAWZCEBEGJLIL.NQS



Vemos lo indicado al analizarlo y ver que no empieza poor MZ, como debería ser.



De todas formas, gracias por su colaboración al enviarnos el fichero.



SALUDOS



ms, 15-3-2017

D1n4m1c
Mensajes: 3
Registrado: 15 Mar 2017, 15:20

Re: Ransomware cryakl

Mensaje por D1n4m1c » 16 Mar 2017, 13:24

Buen día, como te había comentado el RannohDecryptor de Kaspersky no me funciono , ya me puse en contacto con el OSI, para ver si me pueden brindar alguna ayuda.

Los archivos encriptados tienen todos el nombre cambiado como el que les envie , ninguno tiene la extencion o en el nombre el cryakl , la forma de identificar el ransomware lo hice mediante https://id-ransomware.malwarehunterteam.com , ademas de que buscando especificaciones de otros ransomware ninguno coinicida mas que el Cryakl.

Con respecto al ejecutable , no lo logre encontrar, en una de esas me pueden ayudar con eso.

Desde que se infecto , 3 días aproximadamente no se volvió a encriptar ningún archivos mas, fueron todos el mismo día y a la misma hora , pero desde ese momento volvió a funcionar, busque en la carpeta %temp% para ver si encontraba algo raro pero no pude detectar nada fuera de lo comun y en el registro busque en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce pero no había ninguna aplicación desconocida ejecutándose en el inicio.

Desde ya muchas gracias , cualquier ayuda que me brinde el OSI la actualizare por aquí.

Saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Ransomware cryakl

Mensaje por msc hotline sat » 16 Mar 2017, 16:56

Pues mira de pasar el SPROCES, pulsa en SALIR y posteanos el informe resultante, donde se verá las claves de lanzamiento, a ver si vemos cual es y te podemos pedir el fichero concreto



Gracias por tu colaboracion



saludos



ms, 16-3-2017

Responder

Volver a “Foro Virus - Cuentanos tu problema”