суббота, 3 марта 2018 г.

Cryakl Decoder

CRYAKL DECODER 

Cryakl 1.4.0.0-1.4.1.0 Fairytail Decrypter

Инструкция по использованию


   Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 
Файл декодера от James Gourley

  Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком Cryakl Ransomware (Cryakl 1.4.0.0 / 1.4.1.0 FAIRYTAIL), которым к зашифрованным файлам добавляется расширение .fairytail, а перед ним идут последовательно: email, версия, ID, дата и время шифрования, цифры, название зашифрованного файла. 

Состав:
email-<email_ransom>.ver-<version>.id-<ID_chars>-<day@month@year> <hours@minutes@seconds> <part_of_day> <series_of_digits>.fname-<file_name>.fairytail

  Фактически файлы получают составное расширение и выглядят следующим образом:
email-draggonblack@yahoo.com.ver-CL 1.4.0.0.id-##########-12@11@2017 3@23@45 AM7563453.fname-README.txt.fairytail
email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-##########-12@11@2017 3@23@45 AM7563453.fname-README.txt.fairytail

README.txt - это примерное название зашифрованного файла, которое обложено с обеих сторон. 

Содержание записки о выкупе:
ATTENTION!
All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible.
To get your unique key and decode files, you need to write us at email written below during 72 hours, otherwise your files will be destroyed forever!
hola@all-ransomware.info
hola@all-ransomware.info
hola@all-ransomware.info

Перевод на русский язык:
ВНИМАНИЕ!
Все ваши файлы зашифрованы криптографически сильным алгоритмом и без оригинального ключа дешифрования восстановление невозможно.
Чтобы получить свой уникальный ключ и дешифровать файлы, вам надо написать нам на email, указанный ниже, в течение 72 часов, иначе ваши файлы будут уничтожены!
hola@all-ransomware.info
hola@all-ransomware.info
hola@all-ransomware.info
🎥 См. также видеообзор атаки этого шифровальщика по ссылке

  Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

👉 По сообщению разработчика декодера, файлы, зашифрованные версиями 1.5.0.0-1.5.1.0, также могут быть расшифрованы. 

  Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 


Перед дешифровкой

  При первом запуске декодера должно появиться окно UAC (Контроль учетных записей в Windows). 
  Прочитав имя программы и издателя, согласитесь на запуск.

Так как данный файл декодера ещё относительно новый, разработан и выпущен Джейсом Гурли совсем недавно, то большинство антивирусных программ ещё не имеют о нём достоверной репутации и не включили в свои базы. Поэтому антивирусная защита может сработать на него или выдать предупреждение. Для примера я даю скриншоты предупреждения Norton Security. Файл ещё малоизвестен в сообществе пользователей Norton, потому он ещё не получил достаточно отзывов о положительной репутации. 


  Данная версия прошла успешную проверку на VirusTotal и только один малоизвестный антивирус выдал предупреждение. Такой детект ложный. 


  Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы. 
И лишь потом, при их успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов. 
  Но я всегда рекомендую не торопиться и сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно. 


Процесс дешифровки

После запуска декодера (декриптера) появится основное окно.

Не торопитесь, кликните по красной надписи в правом верхнем углу. Откроется следующее окно с предостережениями и рекомендациями разработчика.
Часть текста аналогична моему — это предостережения об обязательном бэкапе данных перед попыткой дешифрования. Другая часть поясняет как начать дешифрование. 


Левая часть окна

Шаг 1 - Анализ
Здесь только кнопки "Select unencrypted file" и "Select encrypted file", предназначенные для выбора зашифрованного и незашифрованного файлов. Это обязательный пункт! 

Шаг 2 - Предпочтения
Здесь можно на выбор:
- сохранить зашифованные файлы перед дешифровкой;
- удалить записки о выкупе README.txt, незашифрованные или зашифрованные;
- восстановить отдельный файл;
- восстановить файлы в выбранной папке;
- восстановить файлы в выбранную папку.



Правая часть окна

Job Summary

Выбор опций осуществляется двойным кликом по опции. Это часть работает только в системе, где имеются зашифрованные файлы. На мой взгляд ничего сложного нет. Пробуйте. 

Для запуска дешифровки с выбранными параметрами нажмите кнопку "Start Decryption". Если кнопка неактивна, то прочтите ниже Дополнения

Если программа помогла вернуть файлы, то вы можете перевести её разработчику Джеймсу Гурли любую сумму в знак благодарности.




Дополнение
Правая часть окна вызвала у пострадавших от вымогателя трудности, в комментариях и через форму обратной связи меня просили помочь с неактивной кнопкой "Start Decryption". 

Потому даю небольшое пояснение с переводом опций.
Некоторые опции работают только в системе, где есть зашифрованные файлы. Поэтому их нужно прощёлкать последовательно сверху вниз
Не торопитесь и обращайте внимание, какие кнопки активируются в левой части этого окна. Они позволяют вам выбирать файлы и папки согласно включаемым параметрам в правой части. 

Source Unencrypted File - двойной клик для выбора Исходного незаш-файла
Source Encrypted File - двойной клик для выбора Исходного заш-файла
Victim ID - двойной клик для определения ID жертвы
Decryption Key - двойной клик для определения Ключа дешифрования
Encryption Signature - двойной клик для определения Сигнатуры шифрования
Keep Encrypted Files - двойной клик для смены "Да/Нет" для Сохранения заш-файлов
Delete Readme Files - двойной клик для смены "Нет/Да" для Удаления файлов readme.txt
Readme File Hash - двойной клик для выбора файла readme.txt и Получения его хэша
Encrypted Readme File Hash - двойной клик для выбора заш-файла readme.txt и Получения его хэша
Recover Mode - двойной клик для смены режима Single File Mode (Отдельный файл) на Folder Mode (Папка)
What to Recover - двойной клик для запуска Восстановления после определения Ключа дешифрования
Recover to a New Location - двойной клик для смены "Нет/Да" для Сохранения в новом месте
Where to Recover - двойной клик для указания нового места Где сохранять деш-файлы

*| деш-файлы - дешифрованные файлы
*| заш-файлы - зашифрованные файлы
*| незаш-файлы - незашифрованные файлы


Напоследок...
После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт "После дешифрования". 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декодер (декриптер)* не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком Джеймсом Гурли, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 
Не пугайтесь английского языка на странице. Разработчик декодера самостоятельно нашел мой русскоязычный сайт, перевел текст с помощью Google-переводчика и сам предложил эту разработку пострадавшим. 

*| Разработчик сам в разных местах называет свою программу то декодером, то декриптером. Поэтому я тоже привожу оба его названия в статье. 

© Amigo-A (Andrew Ivanov): All blog articles.

23 комментария:

  1. Здравствуйте. Нуждаюсь в Вашей помощи разобраться в дешифровщике. Загрузил два файла. программа написала ключ найден. но кнопка Start Decryption не доступна для нажатия. Как быть?

    ОтветитьУдалить
    Ответы
    1. Я не могу это воспроизвести. Надо обратиться по ссылке выше к разработчику. Используйте Google-переводчик. Удачи в расшифровке!

      Удалить
    2. Добавил пояснение с переводом опций. Выбирайте их последовательно сверху вниз. Не торопитесь.

      Удалить
  2. >>Здравствуйте. Нуждаюсь в Вашей помощи разобраться в дешифровщике. Загрузил два файла. программа написала ключ найден. но кнопка Start Decryption не доступна для нажатия. Как быть?
    >>
    возможно, вы не выбрали цель расшифровки: необходимо указать либо одиночный файл (recovery single file) или выбрать каталог для расшифровки (recover an entire folder or drive)

    ОтветитьУдалить
  3. кстати, да, есть небольшая недоработка софта (или так задумано автором программы), что после выбора зашифрованного и оригинального файлов - программа отвечает, что найден ключ, но опция Start Decryption еще не активирована, даже если и автоматически выбран режим расшифровки одиночного файла, но как только вы выберете каталог для расшифровки - опция Start Decryption станет активной.

    ОтветитьУдалить
  4. Правильно, без выбора места сохранения дешифрование не запустится. Кроме того это еще и элемент безопасности: Разработчик ранее рекомендовал для расшифровки файлов размером более 2 Гб не делать копию файла из программы (из комментариев на его сайте от 8 февраля) и использовать по-штучную расшифровку файлов (режим Single File Mode). Позже он внёс изменения, которые позволяют расшифровывать такие файлы с сохранением копий. Но всё равно нужно заранее проверить наличие свободного места на диске.

    ОтветитьУдалить
  5. Файл не доступен на dropbox. У кого остался, перезалейте пожалуйста хоть на яндекс диск.

    ОтветитьУдалить
  6. А есть ли дешифратор на

    hola@all-ransomware.info.ver-CL 1.5.1.0

    Заразился сегодня... если есть поделитесь пожалуйста.

    ОтветитьУдалить
    Ответы
    1. Разработчик пока не сделал дешифратора для версии 1.5. Мы не знаем когда она будет реализована. Лаборатория Касперского работает над этой версией тоже. Пока рекомендую собрать файлы и ждать. Предыдущие версии были дешифрованы спустя несколько лет.

      Удалить
  7. У кого-нибудь есть последняя версия CRYAKL DECODER? Ту, что опубликовал Amigo A(за что ему огромное спасибо), не самая последняя. Ссылка на дропбокс не работает.

    ОтветитьУдалить
    Ответы
    1. Разработчик декриптера пока не сделал дешифратора для версии 1.5. Мы не знаем когда она будет реализована. Лаборатория Касперского работает над этой версией тоже. Пока рекомендую собрать файлы.

      Удалить
  8. Ответы
    1. Разработчик пока не сделал дешифратора для версии 1.5. Мы не знаем когда она будет реализована. Лаборатория Касперского работает над этой версией тоже. Пока рекомендую собрать файлы и ждать. Предыдущие версии были дешифрованы спустя несколько лет.

      Удалить
  9. как быть, если нету нешифрованного файла для выбора в пару к зашифрованному? Девушка умудрилась потерять все фотки с дальней поездки) все они зашифрованы

    ОтветитьУдалить
    Ответы
    1. Разработчик декриптера пока не сделал дешифратора для версии 1.5. Мы не знаем когда она будет реализована. Лаборатория Касперского работает над этой версией тоже. Пока рекомендую собрать файлы.

      Удалить
    2. Спасибо за ответ, слежу за темой, тут пожалуйста обновите информацию после выхода версии под 1.5

      Удалить
    3. Можно попробовать образцы изображений из арсенала Microsoft Windows. Ссылка на архив нашего Яндекс-Диска: https://yadi.sk/d/jfEKQxG_CReNTA

      Удалить
  10. Всем привет!!! тоже поймал версии email-hola@all-ransomware.info.ver-CL 1.5.1.0 помог8ите с дешифровкой. Спасибо!!! Да и версия выше не скачивается ниоткуда

    ОтветитьУдалить
  11. Статья была написана для CRYAKL 1.4.0.0-1.4.1.0 FAIRYTAIL
    Дешифровщик для версии 1.5 не выпускался. Попытки делались. Но дешифровщика нет. Можно даже не искать. Только соберите файлы и ждите лучших времён.

    ОтветитьУдалить
  12. Ответы
    1. В некоторых случаях расшифровка возможна, но не во всех.

      Удалить
  13. Разумеется. Специалисты работают над этим. Но когда будут положительные результаты - никто не сможет сказать заранее.

    ОтветитьУдалить