понедельник, 5 марта 2018 г.

Annabelle Decryptor

ANNABELLE DECRYPTOR

Bitdefender Annabelle Decryptor

Инструкция по использованию 

Translation into English



Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). Разархивируйте. 
При проблемах с загрузкой файла, качайте загрузчиком, например, Download Master


Файл декриптора от Bitdefender

Используйте этот декриптор, только если ваши файлы были зашифрованы шифровальщиком Annabelle Ransomware, который к зашифрованным файлам добавляет расширение .ANNABELLE и демонстрирует экран блокировки с куклой Annabelle из одноимённой кино-франшизы (фильм-ужасов, производство США).

👉 Для любых уточнений используйте только безопасный источник информации — мой дайджест-блог "Шифровальщики-вымогатели". Оригинальная статья там описывает Annabelle Ransomware на русском языке. 

👉 Это одновременно и самая первая статья по этому шифровальщику-вымогателю на русском языке. Все остальные написаны позже и прямо или косвенно используют информацию и ссылки, полученные из моего блога. 

✋ Помните, я это говорю не для красного словца, а потому что есть сайты, где вас могут обмануть и подсунуть фальшивую программу с опасным функционалом. Будьте осторожны! Спрашивайте, если не знаете, как поступить. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 



Перед дешифровкой

Перед использованием инструмента дешифрования надо выполнить очистку ПК:
1) восстановить MBR с помощью инструментов FixMbr, LiveCD и других; 
2) удалить из реестра ключи шифровальщика, созданные для автозагрузки; 

Также это можно сделать, например, с помощью Bitdefender Rescue CD просканировать и исправить. 

 Дешифраторы от Bitdefender не могут работать с кириллическим именем пользователя. Невероятно, но факт! Обязательно переименуйте имя вашей учетной записи на англоязычное, например, если имя было "Пользователь", то переименуйте его на "User", хотя бы на время дешифровки. 



Процесс дешифровки

 Я всегда рекомендую сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. Приятно осознавать, что в этом разработчики декриптера со мной согласны. 👍

После запуска скачанного файла появится следующее окно-предупреждение системы безопасности Windows на запуск скачанного файла. 


Проверив информацию об издателе файла, нажмите кнопку "Запустить". 




Появится окно декриптора. Прочитав информацию, нажмите кнопку "I agree". Следующим будет собственное окно декриптора. 


Укажите здесь путь для сканирования или проверьте всю систему (отметка "Scan entire system") и нажмите кнопку "Scan", чтобы начать.

Обратите внимание на опцию "Backup files" (Бэкап файлов), если поставить здесь отметку, то потребуется больше места на вашем диске. 

Независимо от того, поставили ли вы отметку на опцию "Backup files" или нет, декриптер попытается дешифровать 5 случайных файлов в указанном пути и НЕ будет продолжать расшифровку, если тест не будет успешным.

Если тест будет успешным, то в конце этого шага ваши файлы должны быть дешифрованы. Если вы поставили отметку на опцию "Backup files", то после дешифрования вам получите зашифрованные и дешифрованные файлы.

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт.




Удачной дешифровки! 


ЕСЛИ НЕ ПОМОГАЕТ...

Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, компанией Bitdefender и отправить им собранные образцы вредоносных файлов по адресу forensics@bitdefender.com

Вы также можете найти и прислать журнал BitdefenderLog, описывающий процесс дешифрования, он будет находиться в папке %temp%\BDRemovalTool 

суббота, 3 марта 2018 г.

Cryakl Decoder - 1.4

CRYAKL DECODER 

Cryakl 1.4.0.0-1.4.1.0 Fairytail Decrypter

Инструкция по использованию 

Translation into English


   Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 
Файл декодера от James Gourley

  Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком Cryakl Ransomware (Cryakl 1.4.0.0 / 1.4.1.0 FAIRYTAIL), которым к зашифрованным файлам добавляется расширение .fairytail, а перед ним идут последовательно: email, версия, ID, дата и время шифрования, цифры, название зашифрованного файла. 

Состав:
email-<email_ransom>.ver-<version>.id-<ID_chars>-<day@month@year> <hours@minutes@seconds> <part_of_day> <series_of_digits>.fname-<file_name>.fairytail

  Фактически файлы получают составное расширение и выглядят следующим образом:
email-draggonblack@yahoo.com.ver-CL 1.4.0.0.id-##########-12@11@2017 3@23@45 AM7563453.fname-README.txt.fairytail
email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-##########-12@11@2017 3@23@45 AM7563453.fname-README.txt.fairytail

README.txt - это примерное название зашифрованного файла, которое обложено с обеих сторон. 

Содержание записки о выкупе:
ATTENTION!
All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible.
To get your unique key and decode files, you need to write us at email written below during 72 hours, otherwise your files will be destroyed forever!
hola@all-ransomware.info
hola@all-ransomware.info
hola@all-ransomware.info

Перевод на русский язык:
ВНИМАНИЕ!
Все ваши файлы зашифрованы криптографически сильным алгоритмом и без оригинального ключа дешифрования восстановление невозможно.
Чтобы получить свой уникальный ключ и дешифровать файлы, вам надо написать нам на email, указанный ниже, в течение 72 часов, иначе ваши файлы будут уничтожены!
hola@all-ransomware.info
hola@all-ransomware.info
hola@all-ransomware.info
🎥 См. также видеообзор атаки этого шифровальщика по ссылке

  Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

👉 По сообщению разработчика декодера, файлы, зашифрованные версиями 1.5.0.0-1.5.1.0, также могут быть расшифрованы. 

  Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 


Перед дешифровкой

  При первом запуске декодера должно появиться окно UAC (Контроль учетных записей в Windows). 
  Прочитав имя программы и издателя, согласитесь на запуск.

Так как данный файл декодера ещё относительно новый, разработан и выпущен Джейсом Гурли совсем недавно, то большинство антивирусных программ ещё не имеют о нём достоверной репутации и не включили в свои базы. Поэтому антивирусная защита может сработать на него или выдать предупреждение. Для примера я даю скриншоты предупреждения Norton Security. Файл ещё малоизвестен в сообществе пользователей Norton, потому он ещё не получил достаточно отзывов о положительной репутации. 


  Данная версия прошла успешную проверку на VirusTotal и только один малоизвестный антивирус выдал предупреждение. Такой детект ложный. 


  Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы. 
И лишь потом, при их успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов. 
  Но я всегда рекомендую не торопиться и сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно. 


Процесс дешифровки

После запуска декодера (декриптера) появится основное окно.

Не торопитесь, кликните по красной надписи в правом верхнем углу. Откроется следующее окно с предостережениями и рекомендациями разработчика.
Часть текста аналогична моему — это предостережения об обязательном бэкапе данных перед попыткой дешифрования. Другая часть поясняет как начать дешифрование. 


Левая часть окна

Шаг 1 - Анализ
Здесь только кнопки "Select unencrypted file" и "Select encrypted file", предназначенные для выбора зашифрованного и незашифрованного файлов. Это обязательный пункт! 

Шаг 2 - Предпочтения
Здесь можно на выбор:
- сохранить зашифованные файлы перед дешифровкой;
- удалить записки о выкупе README.txt, незашифрованные или зашифрованные;
- восстановить отдельный файл;
- восстановить файлы в выбранной папке;
- восстановить файлы в выбранную папку.



Правая часть окна

Job Summary

Выбор опций осуществляется двойным кликом по опции. Это часть работает только в системе, где имеются зашифрованные файлы. На мой взгляд ничего сложного нет. Пробуйте. 

Для запуска дешифровки с выбранными параметрами нажмите кнопку "Start Decryption". Если кнопка неактивна, то прочтите ниже Дополнения

Если программа помогла вернуть файлы, то вы можете перевести её разработчику Джеймсу Гурли любую сумму в знак благодарности.




Дополнение
Правая часть окна вызвала у пострадавших от вымогателя трудности, в комментариях и через форму обратной связи меня просили помочь с неактивной кнопкой "Start Decryption". 

Потому даю небольшое пояснение с переводом опций.
Некоторые опции работают только в системе, где есть зашифрованные файлы. Поэтому их нужно прощёлкать последовательно сверху вниз
Не торопитесь и обращайте внимание, какие кнопки активируются в левой части этого окна. Они позволяют вам выбирать файлы и папки согласно включаемым параметрам в правой части. 

Source Unencrypted File - двойной клик для выбора Исходного незаш-файла
Source Encrypted File - двойной клик для выбора Исходного заш-файла
Victim ID - двойной клик для определения ID жертвы
Decryption Key - двойной клик для определения Ключа дешифрования
Encryption Signature - двойной клик для определения Сигнатуры шифрования
Keep Encrypted Files - двойной клик для смены "Да/Нет" для Сохранения заш-файлов
Delete Readme Files - двойной клик для смены "Нет/Да" для Удаления файлов readme.txt
Readme File Hash - двойной клик для выбора файла readme.txt и Получения его хэша
Encrypted Readme File Hash - двойной клик для выбора заш-файла readme.txt и Получения его хэша
Recover Mode - двойной клик для смены режима Single File Mode (Отдельный файл) на Folder Mode (Папка)
What to Recover - двойной клик для запуска Восстановления после определения Ключа дешифрования
Recover to a New Location - двойной клик для смены "Нет/Да" для Сохранения в новом месте
Where to Recover - двойной клик для указания нового места Где сохранять деш-файлы

*| деш-файлы - дешифрованные файлы
*| заш-файлы - зашифрованные файлы
*| незаш-файлы - незашифрованные файлы


Напоследок...
После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт "После дешифрования". 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декодер (декриптер)* не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком Джеймсом Гурли, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 
Не пугайтесь английского языка на странице. Разработчик декодера самостоятельно нашел мой русскоязычный сайт, перевел текст с помощью Google-переводчика и сам предложил эту разработку пострадавшим. 

*| Разработчик сам в разных местах называет свою программу то декодером, то декриптером. Поэтому я тоже привожу оба его названия в статье. 

© Amigo-A (Andrew Ivanov): All blog articles.