суббота, 3 марта 2018 г.

Cryakl Decoder - 1.4

CRYAKL DECODER 

Cryakl 1.4.0.0-1.4.1.0 Fairytail Decrypter

Инструкция по использованию 

Translation into English


   Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 
Файл декодера от James Gourley

  Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком Cryakl Ransomware (Cryakl 1.4.0.0 / 1.4.1.0 FAIRYTAIL), которым к зашифрованным файлам добавляется расширение .fairytail, а перед ним идут последовательно: email, версия, ID, дата и время шифрования, цифры, название зашифрованного файла. 

Состав:
email-<email_ransom>.ver-<version>.id-<ID_chars>-<day@month@year> <hours@minutes@seconds> <part_of_day> <series_of_digits>.fname-<file_name>.fairytail

  Фактически файлы получают составное расширение и выглядят следующим образом:
email-draggonblack@yahoo.com.ver-CL 1.4.0.0.id-##########-12@11@2017 3@23@45 AM7563453.fname-README.txt.fairytail
email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-##########-12@11@2017 3@23@45 AM7563453.fname-README.txt.fairytail

README.txt - это примерное название зашифрованного файла, которое обложено с обеих сторон. 

Содержание записки о выкупе:
ATTENTION!
All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible.
To get your unique key and decode files, you need to write us at email written below during 72 hours, otherwise your files will be destroyed forever!
hola@all-ransomware.info
hola@all-ransomware.info
hola@all-ransomware.info

Перевод на русский язык:
ВНИМАНИЕ!
Все ваши файлы зашифрованы криптографически сильным алгоритмом и без оригинального ключа дешифрования восстановление невозможно.
Чтобы получить свой уникальный ключ и дешифровать файлы, вам надо написать нам на email, указанный ниже, в течение 72 часов, иначе ваши файлы будут уничтожены!
hola@all-ransomware.info
hola@all-ransomware.info
hola@all-ransomware.info
🎥 См. также видеообзор атаки этого шифровальщика по ссылке

  Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

👉 По сообщению разработчика декодера, файлы, зашифрованные версиями 1.5.0.0-1.5.1.0, также могут быть расшифрованы. 

  Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 


Перед дешифровкой

  При первом запуске декодера должно появиться окно UAC (Контроль учетных записей в Windows). 
  Прочитав имя программы и издателя, согласитесь на запуск.

Так как данный файл декодера ещё относительно новый, разработан и выпущен Джейсом Гурли совсем недавно, то большинство антивирусных программ ещё не имеют о нём достоверной репутации и не включили в свои базы. Поэтому антивирусная защита может сработать на него или выдать предупреждение. Для примера я даю скриншоты предупреждения Norton Security. Файл ещё малоизвестен в сообществе пользователей Norton, потому он ещё не получил достаточно отзывов о положительной репутации. 


  Данная версия прошла успешную проверку на VirusTotal и только один малоизвестный антивирус выдал предупреждение. Такой детект ложный. 


  Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы. 
И лишь потом, при их успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов. 
  Но я всегда рекомендую не торопиться и сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно. 


Процесс дешифровки

После запуска декодера (декриптера) появится основное окно.

Не торопитесь, кликните по красной надписи в правом верхнем углу. Откроется следующее окно с предостережениями и рекомендациями разработчика.
Часть текста аналогична моему — это предостережения об обязательном бэкапе данных перед попыткой дешифрования. Другая часть поясняет как начать дешифрование. 


Левая часть окна

Шаг 1 - Анализ
Здесь только кнопки "Select unencrypted file" и "Select encrypted file", предназначенные для выбора зашифрованного и незашифрованного файлов. Это обязательный пункт! 

Шаг 2 - Предпочтения
Здесь можно на выбор:
- сохранить зашифованные файлы перед дешифровкой;
- удалить записки о выкупе README.txt, незашифрованные или зашифрованные;
- восстановить отдельный файл;
- восстановить файлы в выбранной папке;
- восстановить файлы в выбранную папку.



Правая часть окна

Job Summary

Выбор опций осуществляется двойным кликом по опции. Это часть работает только в системе, где имеются зашифрованные файлы. На мой взгляд ничего сложного нет. Пробуйте. 

Для запуска дешифровки с выбранными параметрами нажмите кнопку "Start Decryption". Если кнопка неактивна, то прочтите ниже Дополнения

Если программа помогла вернуть файлы, то вы можете перевести её разработчику Джеймсу Гурли любую сумму в знак благодарности.




Дополнение
Правая часть окна вызвала у пострадавших от вымогателя трудности, в комментариях и через форму обратной связи меня просили помочь с неактивной кнопкой "Start Decryption". 

Потому даю небольшое пояснение с переводом опций.
Некоторые опции работают только в системе, где есть зашифрованные файлы. Поэтому их нужно прощёлкать последовательно сверху вниз
Не торопитесь и обращайте внимание, какие кнопки активируются в левой части этого окна. Они позволяют вам выбирать файлы и папки согласно включаемым параметрам в правой части. 

Source Unencrypted File - двойной клик для выбора Исходного незаш-файла
Source Encrypted File - двойной клик для выбора Исходного заш-файла
Victim ID - двойной клик для определения ID жертвы
Decryption Key - двойной клик для определения Ключа дешифрования
Encryption Signature - двойной клик для определения Сигнатуры шифрования
Keep Encrypted Files - двойной клик для смены "Да/Нет" для Сохранения заш-файлов
Delete Readme Files - двойной клик для смены "Нет/Да" для Удаления файлов readme.txt
Readme File Hash - двойной клик для выбора файла readme.txt и Получения его хэша
Encrypted Readme File Hash - двойной клик для выбора заш-файла readme.txt и Получения его хэша
Recover Mode - двойной клик для смены режима Single File Mode (Отдельный файл) на Folder Mode (Папка)
What to Recover - двойной клик для запуска Восстановления после определения Ключа дешифрования
Recover to a New Location - двойной клик для смены "Нет/Да" для Сохранения в новом месте
Where to Recover - двойной клик для указания нового места Где сохранять деш-файлы

*| деш-файлы - дешифрованные файлы
*| заш-файлы - зашифрованные файлы
*| незаш-файлы - незашифрованные файлы


Напоследок...
После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт "После дешифрования". 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декодер (декриптер)* не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком Джеймсом Гурли, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 
Не пугайтесь английского языка на странице. Разработчик декодера самостоятельно нашел мой русскоязычный сайт, перевел текст с помощью Google-переводчика и сам предложил эту разработку пострадавшим. 

*| Разработчик сам в разных местах называет свою программу то декодером, то декриптером. Поэтому я тоже привожу оба его названия в статье. 

© Amigo-A (Andrew Ivanov): All blog articles.

32 комментария:

  1. Здравствуйте. Нуждаюсь в Вашей помощи разобраться в дешифровщике. Загрузил два файла. программа написала ключ найден. но кнопка Start Decryption не доступна для нажатия. Как быть?

    ОтветитьУдалить
    Ответы
    1. Я не могу это воспроизвести. Надо обратиться по ссылке выше к разработчику. Используйте Google-переводчик. Удачи в расшифровке!

      Удалить
    2. Добавил пояснение с переводом опций. Выбирайте их последовательно сверху вниз. Не торопитесь.

      Удалить
  2. >>Здравствуйте. Нуждаюсь в Вашей помощи разобраться в дешифровщике. Загрузил два файла. программа написала ключ найден. но кнопка Start Decryption не доступна для нажатия. Как быть?
    >>
    возможно, вы не выбрали цель расшифровки: необходимо указать либо одиночный файл (recovery single file) или выбрать каталог для расшифровки (recover an entire folder or drive)

    ОтветитьУдалить
  3. кстати, да, есть небольшая недоработка софта (или так задумано автором программы), что после выбора зашифрованного и оригинального файлов - программа отвечает, что найден ключ, но опция Start Decryption еще не активирована, даже если и автоматически выбран режим расшифровки одиночного файла, но как только вы выберете каталог для расшифровки - опция Start Decryption станет активной.

    ОтветитьУдалить
  4. Правильно, без выбора места сохранения дешифрование не запустится. Кроме того это еще и элемент безопасности: Разработчик ранее рекомендовал для расшифровки файлов размером более 2 Гб не делать копию файла из программы (из комментариев на его сайте от 8 февраля) и использовать по-штучную расшифровку файлов (режим Single File Mode). Позже он внёс изменения, которые позволяют расшифровывать такие файлы с сохранением копий. Но всё равно нужно заранее проверить наличие свободного места на диске.

    ОтветитьУдалить
  5. Файл не доступен на dropbox. У кого остался, перезалейте пожалуйста хоть на яндекс диск.

    ОтветитьУдалить
  6. А есть ли дешифратор на

    hola@all-ransomware.info.ver-CL 1.5.1.0

    Заразился сегодня... если есть поделитесь пожалуйста.

    ОтветитьУдалить
    Ответы
    1. Разработчик пока не сделал дешифратора для версии 1.5. Мы не знаем когда она будет реализована. Лаборатория Касперского работает над этой версией тоже. Пока рекомендую собрать файлы и ждать. Предыдущие версии были дешифрованы спустя несколько лет.

      Удалить
  7. У кого-нибудь есть последняя версия CRYAKL DECODER? Ту, что опубликовал Amigo A(за что ему огромное спасибо), не самая последняя. Ссылка на дропбокс не работает.

    ОтветитьУдалить
    Ответы
    1. Разработчик декриптера пока не сделал дешифратора для версии 1.5. Мы не знаем когда она будет реализована. Лаборатория Касперского работает над этой версией тоже. Пока рекомендую собрать файлы.

      Удалить
  8. Ответы
    1. Разработчик пока не сделал дешифратора для версии 1.5. Мы не знаем когда она будет реализована. Лаборатория Касперского работает над этой версией тоже. Пока рекомендую собрать файлы и ждать. Предыдущие версии были дешифрованы спустя несколько лет.

      Удалить
  9. как быть, если нету нешифрованного файла для выбора в пару к зашифрованному? Девушка умудрилась потерять все фотки с дальней поездки) все они зашифрованы

    ОтветитьУдалить
    Ответы
    1. Разработчик декриптера пока не сделал дешифратора для версии 1.5. Мы не знаем когда она будет реализована. Лаборатория Касперского работает над этой версией тоже. Пока рекомендую собрать файлы.

      Удалить
    2. Спасибо за ответ, слежу за темой, тут пожалуйста обновите информацию после выхода версии под 1.5

      Удалить
    3. Можно попробовать образцы изображений из арсенала Microsoft Windows. Ссылка на архив нашего Яндекс-Диска: https://yadi.sk/d/jfEKQxG_CReNTA

      Удалить
    4. Про версию 1.5 рассказывается здесь: https://decryptors.blogspot.com/2018/09/cryakl-1510-decrypting.html
      Актуальность - середина сентября. Если шифрование было позже, то возможно, что этот метод уже не поможет.

      Удалить
  10. Всем привет!!! тоже поймал версии email-hola@all-ransomware.info.ver-CL 1.5.1.0 помог8ите с дешифровкой. Спасибо!!! Да и версия выше не скачивается ниоткуда

    ОтветитьУдалить
  11. Статья была написана для CRYAKL 1.4.0.0-1.4.1.0 FAIRYTAIL
    Дешифровщик для версии 1.5 не выпускался. Попытки делались. Но дешифровщика нет. Можно даже не искать. Только соберите файлы и ждите лучших времён.

    ОтветитьУдалить
    Ответы
    1. Для версии 1.5 на середину сентября используйте следующий способ.
      https://decryptors.blogspot.com/2018/09/cryakl-1510-decrypting.html

      Позднее варианты могут не дешифроваться по причине изменений, внесенных позже вымогателями. Новее ничего нет и вряд ли скоро будет.

      Удалить
  12. Ответы
    1. В некоторых случаях расшифровка возможна, но не во всех.

      Удалить
    2. Для версии 1.5 на середину сентября используйте следующий способ.
      https://decryptors.blogspot.com/2018/09/cryakl-1510-decrypting.html

      Позднее варианты могут не дешифроваться по причине изменений, внесенных позже вымогателями. Новее ничего нет и вряд ли скоро будет.

      Удалить
  13. Разумеется. Специалисты работают над этим. Но когда будут положительные результаты - никто не сможет сказать заранее.

    ОтветитьУдалить
  14. Добрый день, тоже подцепил эту заразу. Дайте кто-нибудь рабочую ссылку на прогу, а то верхние ссылки Dropbox и Яндекс.Диск не рабочие. Спасибо.

    ОтветитьУдалить
    Ответы
    1. Ссылка на Яндекс-Диск в заголовке статьи обновлена. Пароль на архив: cryakldecoder
      Но это дешифратор только для версии 1.4.0.0-1.4.1.0
      За новыми дешифраторами обращайтесь к разработчику по ссылке: https://www.experts-exchange.com/articles/31579/Decrypting-Cryakl-1-4-0-0-1-4-1-0-FAIRYTAIL-Ransomware.html

      Удалить
    2. Спасибо за ссылку, к сожалению это старая версия дешифратора, такой есть, а на странице разработчика ссылка не рабочая: https://www.dropbox.com/s/3doqkwpr6hgwua0/Cryakl-Decoder.exe?dl=0
      Может, кто успел скачать у разработчика выложить тут, плиз?

      Удалить
    3. Разумеется, старая. Это дешифратор для версии 1.4 Оригинальный, со страницы https://www.dropbox.com/s/3doqkwpr6hgwua0/Cryakl-Decoder.exe?dl=0 когда она была доступна.

      Для версии 1.5 на середину сентября используйте следующий способ.
      https://decryptors.blogspot.com/2018/09/cryakl-1510-decrypting.html

      Позднее варианты могут не дешифроваться по причине изменений, внесенных позже вымогателями. Новее ничего нет и вряд ли скоро будет.

      Удалить
  15. Всем привет!
    Юзер на работе запустил почтовое вложение, как результат-файлы вида email-biger@x-mail.pro.ver-CL 1.5.1.0.id-1486641635-200226172421351995854868.fname-ЖУРНАЛ.XLS.doubleoffset. Есть архивы, которые желательно восстановить.

    Метод перебора описанный https://www.youtube.com/watch?v=oNqcWQ3WL20 мне не помог, разработчик по ссылке: https://www.experts-exchange.com/articles/31579/Decrypting-Cryakl-1-4-0-0-1-4-1-0-FAIRYTAIL-Ransomware.html не отвечает, а его старая версия "dec.exe" результатов не дает.

    Встретил на каком-то из форумов: "Привет.Я был зашифрован двойной версией 1.5.1.0. Теперь у меня есть расшифровщик для моих файлов. Может быть, эти файлы будут полезны для разработки универсальных расшифровщиков. Во вложении: зашифрованный файл, расшифрованный файл, программа для поиска ключа, ключ и программа дешифрования для этого ключа." ссылка на файлы: https://yadi.sk/d/zLMgAENP3Lkxdg

    Попробовал программу у себя, пишет ключ найден, а в папке с программой формируется файл "data.ini" с содержимым вида "...ILJIRJJKIQLILPJIPIMQKNNKJPIQPIQIJQPIQLIJQIROJMJ...". Может кто-нибудь знает что дальше делать? Может можно сгенерировать ключ по этому файлу?
    Содержимое "data.ini" одинаково во всех моих файлах, но разное от других форумчан, приславшие свои файлы. Есть у кого идеи?

    ОтветитьУдалить
    Ответы
    1. Тогда вам лучше написать о новом дешифраторе и вашем способе в комментариях к статье https://decryptors.blogspot.com/2018/09/cryakl-1510-decrypting.html
      Тогда будет, где ждать ответа от тех, кто знает, что дальше делать. К сожалению, отсюда невозможно перенести комментарии в другую статью.

      Удалить