суббота, 3 марта 2018 г.

Cryakl Decoder - 1.4

CRYAKL DECODER 

Cryakl 1.4.0.0-1.4.1.0 Fairytail Decrypter

Инструкция по использованию 

Translation into English


   Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 
Файл декодера от James Gourley

  Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком Cryakl Ransomware (Cryakl 1.4.0.0 / 1.4.1.0 FAIRYTAIL), которым к зашифрованным файлам добавляется расширение .fairytail, а перед ним идут последовательно: email, версия, ID, дата и время шифрования, цифры, название зашифрованного файла. 

Состав:
email-<email_ransom>.ver-<version>.id-<ID_chars>-<day@month@year> <hours@minutes@seconds> <part_of_day> <series_of_digits>.fname-<file_name>.fairytail

  Фактически файлы получают составное расширение и выглядят следующим образом:
email-draggonblack@yahoo.com.ver-CL 1.4.0.0.id-##########-12@11@2017 3@23@45 AM7563453.fname-README.txt.fairytail
email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-##########-12@11@2017 3@23@45 AM7563453.fname-README.txt.fairytail

README.txt - это примерное название зашифрованного файла, которое обложено с обеих сторон. 

Содержание записки о выкупе:
ATTENTION!
All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible.
To get your unique key and decode files, you need to write us at email written below during 72 hours, otherwise your files will be destroyed forever!
hola@all-ransomware.info
hola@all-ransomware.info
hola@all-ransomware.info

Перевод на русский язык:
ВНИМАНИЕ!
Все ваши файлы зашифрованы криптографически сильным алгоритмом и без оригинального ключа дешифрования восстановление невозможно.
Чтобы получить свой уникальный ключ и дешифровать файлы, вам надо написать нам на email, указанный ниже, в течение 72 часов, иначе ваши файлы будут уничтожены!
hola@all-ransomware.info
hola@all-ransomware.info
hola@all-ransomware.info
🎥 См. также видеообзор атаки этого шифровальщика по ссылке

  Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

👉 По сообщению разработчика декодера, файлы, зашифрованные версиями 1.5.0.0-1.5.1.0, также могут быть расшифрованы. 

  Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 


Перед дешифровкой

  При первом запуске декодера должно появиться окно UAC (Контроль учетных записей в Windows). 
  Прочитав имя программы и издателя, согласитесь на запуск.

Так как данный файл декодера ещё относительно новый, разработан и выпущен Джейсом Гурли совсем недавно, то большинство антивирусных программ ещё не имеют о нём достоверной репутации и не включили в свои базы. Поэтому антивирусная защита может сработать на него или выдать предупреждение. Для примера я даю скриншоты предупреждения Norton Security. Файл ещё малоизвестен в сообществе пользователей Norton, потому он ещё не получил достаточно отзывов о положительной репутации. 


  Данная версия прошла успешную проверку на VirusTotal и только один малоизвестный антивирус выдал предупреждение. Такой детект ложный. 


  Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы. 
И лишь потом, при их успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов. 
  Но я всегда рекомендую не торопиться и сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно. 


Процесс дешифровки

После запуска декодера (декриптера) появится основное окно.

Не торопитесь, кликните по красной надписи в правом верхнем углу. Откроется следующее окно с предостережениями и рекомендациями разработчика.
Часть текста аналогична моему — это предостережения об обязательном бэкапе данных перед попыткой дешифрования. Другая часть поясняет как начать дешифрование. 


Левая часть окна

Шаг 1 - Анализ
Здесь только кнопки "Select unencrypted file" и "Select encrypted file", предназначенные для выбора зашифрованного и незашифрованного файлов. Это обязательный пункт! 

Шаг 2 - Предпочтения
Здесь можно на выбор:
- сохранить зашифованные файлы перед дешифровкой;
- удалить записки о выкупе README.txt, незашифрованные или зашифрованные;
- восстановить отдельный файл;
- восстановить файлы в выбранной папке;
- восстановить файлы в выбранную папку.



Правая часть окна

Job Summary

Выбор опций осуществляется двойным кликом по опции. Это часть работает только в системе, где имеются зашифрованные файлы. На мой взгляд ничего сложного нет. Пробуйте. 

Для запуска дешифровки с выбранными параметрами нажмите кнопку "Start Decryption". Если кнопка неактивна, то прочтите ниже Дополнения

Если программа помогла вернуть файлы, то вы можете перевести её разработчику Джеймсу Гурли любую сумму в знак благодарности.




Дополнение
Правая часть окна вызвала у пострадавших от вымогателя трудности, в комментариях и через форму обратной связи меня просили помочь с неактивной кнопкой "Start Decryption". 

Потому даю небольшое пояснение с переводом опций.
Некоторые опции работают только в системе, где есть зашифрованные файлы. Поэтому их нужно прощёлкать последовательно сверху вниз
Не торопитесь и обращайте внимание, какие кнопки активируются в левой части этого окна. Они позволяют вам выбирать файлы и папки согласно включаемым параметрам в правой части. 

Source Unencrypted File - двойной клик для выбора Исходного незаш-файла
Source Encrypted File - двойной клик для выбора Исходного заш-файла
Victim ID - двойной клик для определения ID жертвы
Decryption Key - двойной клик для определения Ключа дешифрования
Encryption Signature - двойной клик для определения Сигнатуры шифрования
Keep Encrypted Files - двойной клик для смены "Да/Нет" для Сохранения заш-файлов
Delete Readme Files - двойной клик для смены "Нет/Да" для Удаления файлов readme.txt
Readme File Hash - двойной клик для выбора файла readme.txt и Получения его хэша
Encrypted Readme File Hash - двойной клик для выбора заш-файла readme.txt и Получения его хэша
Recover Mode - двойной клик для смены режима Single File Mode (Отдельный файл) на Folder Mode (Папка)
What to Recover - двойной клик для запуска Восстановления после определения Ключа дешифрования
Recover to a New Location - двойной клик для смены "Нет/Да" для Сохранения в новом месте
Where to Recover - двойной клик для указания нового места Где сохранять деш-файлы

*| деш-файлы - дешифрованные файлы
*| заш-файлы - зашифрованные файлы
*| незаш-файлы - незашифрованные файлы


Напоследок...
После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт "После дешифрования". 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декодер (декриптер)* не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком Джеймсом Гурли, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 
Не пугайтесь английского языка на странице. Разработчик декодера самостоятельно нашел мой русскоязычный сайт, перевел текст с помощью Google-переводчика и сам предложил эту разработку пострадавшим. 

*| Разработчик сам в разных местах называет свою программу то декодером, то декриптером. Поэтому я тоже привожу оба его названия в статье. 

© Amigo-A (Andrew Ivanov): All blog articles.