вторник, 18 сентября 2018 г.

Cryakl Decoder - 1.5

CRYAKL DECODER 

CRYAKL 1.5.1.0 DOUBLEOFFSET DECRYPTER

Инструкция по использованию 

Translation into English


 Используйте этот способ, только если ваши файлы были зашифрованы и переименованы шифровальщиком Cryakl Ransomware (Cryakl 1.5.1.0 DOUBLEOFFSET), которым к зашифрованным файлам добавляется расширение .doubleoffset, а перед ним идут последовательно: email, версия, ID, дата и время шифрования, цифры, название зашифрованного файла. 

Состав:
email-<email_ransom>.ver-<version>.id-<ID_chars>-<date_code><time_code><part_of_day> <series_of_digits>.fname-<file_name>.doubleoffset

Пример зашифрованных файлов:
email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-2730359743-752006138775258994028576.fname-README.txt.doubleoffset
email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-2487389875-36772131309119519367183.fname-картинка.jpg.doubleoffset

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. Если вы не можете сделать это сами,обратитесь за помощью на форумы бесплатной помощи. Например, в раздел "Уничтожение вирусов" форума фан-клуба Лаборатории Касперского. Или на тот, который выберите сами. 

👉 По данным разработчика метода дешифровки, описанным здесь методом могут быть расшифрованы многие файлы, зашифрованные версией 1.5.x.x, но, разумеется, до публикации этого метода. Позже разработчики Ransomware уже могут внести в шифрование изменения, не позволяющие дешифровать файлы. 

🎥 См. также видеообзор метода дешифровки по ссылке или смотрите его отсюда. Я не являюсь его автором, потому добавляю его сюда с моими комментариями и подачей материала. Вы должны сами его опробовать. Автор, к сожалению, не назвал себя. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования.

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы. И лишь потом, при их успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов.

Но я всегда рекомендую не торопиться и сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно.


Процесс дешифровки

1. Описание программы дешифрования.
Для дешифрования зашифрованных файлов нужен ключ. Он состоит из 1536 символов или 512 чисел составляющих последовательность типа 
184 192 200 208 216 224 232 240 248 001 009 017 025 033 041 049 057 065 073 081 089 097 105 113 121 129 137 145 153
т.е. имеет шаг последовательности +8
Но в ключе имеется 1 шаг последовательности равный не +8, а +9. т.е.
184 192 200 208 216 224 232 240 249 002 010 018 026 034 042 050 058 066 074 082 090 098 106 114 122 130 138 146 154
Получаем, что таких ключей существует 254 x 511 = 129794 возможных ключей. Один из таких ключей мы и будем искать.

2. Подготовка.
2.1. Создаем папку C:\decrypt и переносим туда файлы (загрузите по ссылке https://yadi.sk/d/mP2BG6YYduwECg).

2.2. Добавляем свой зашифрованный файл в эту папку. 
2.3. Скачиваем программу автокликер - AUTOIT. https://www.autoitscript.com/site/
2.4. Запускаем программу decrypt.exe в "ручном" режиме. Это нужно, чтобы программа запомнила расположение файлов.

3. Настройка.
3.1. Редактируем скрипт.
3.2. Ищем и редактируем координаты кнопок и полей программы. Для этого используем PRINTSCR и PAINT.
3.3. Настраиваем скорость анимации курсора на каждое движение. Это последний параметр в строке MouseClick('Left',678,245,1,3). 1 - самый быстрый, 10 - самый медленный. Мой вариант получился "3 3 2 2 1". ВАШ МОЖЕТ ОТЛИЧАТЬСЯ ОТ МОЕГО.

4. Поиск ключа.
4.1. Запускаем скрипт нажав F5 или TOOLS - GO. Нажмите ESCAPE, чтобы остановить скрипт. Программа начнет искать подходящий ключ. Это займет какое-то время. В моей случае потребовалось порядка 20 часов. Задачу можно распараллелить запустив скрипт на нескольких компьютерах и поменяв начала поиска ключа $i=0 на $i=122 для второго компьютера. ($i принимает значения от 0 до 254)
4.2. После того как программа найдет ключ, она прекратит поиск, а файл используемый для поиска ключа, расшифруется.
4.3. Найдя ключ, мы можем указать папку, где зашифрованы все наши файлы и они будут расшифрованы.



Detailed usage guide (in English):
1. Description of the program.
To decrypt encrypted files, you need a decryption key. The key consists of 1536 characters or 512 numbers constituting a sequence of type
184 192 200 208 216 224 232 240 248 001 009 017 025 033 041 049 057 065 073 081 089 097 105 113 121 129 137 145 153
those. has a step sequence of +8
But in the key there is a 1-step sequence equal to +8, and +9. those.
184 192 200 208 216 224 232 240 249 002 010 018 026 034 042 050 058 066 074 082 090 098 106 114 122 130 138 146 154
We get that there are 254 x 511 = 129794 possible keys. We will look for one of these keys.

2. Preparation.
2.1. Create the C:\decrypt folder and transfer the files there (https://yadi.sk/d/mP2BG6YYduwECg).
2.2. Add your encrypted file to this folder. (You can delete my file)
2.3. Download the program autoclicker - AUTOIT. https://www.autoitscript.com/site/
2.4. Run the program decrypt.exe in "manual" mode. It is necessary for the program to remember the location of the files.

3. Configuration.
3.1. Let's edit the script.
3.2. We are looking for the coordinates of the buttons and fields of the program. For this we use PRINTSCREEN and PAINT.
3.3. Adjust the animation speed of the cursor for each motion. This is the last parameter in the string MouseClick ('Left', 678,245,1,3)
1 - the fastest, 10 - the slowest. My version turned out "3 3 2 2 1". YOUR MAYBE DIFFER FROM MYSELF.

4. Find the key.
4.1. Run the script by pressing F5 or TOOLS - GO. Press ESCAPE to stop the script. The program starts to search for a suitable key. It will take a while. In my case, it took about 20 hours. The task can be expanded by running the script on several computers, and changing the start of the $ i = 0 key search to $ i = 122 for the second computer. ($ i takes values from 0 to 254)
4.2. After the program finds the key, it will stop searching, and the file used to find the key will be decrypted.
4.3. Having found the key, we can specify the folder where all our files are encrypted, and they will be decrypted.

Удачной дешифровки!

Напоследок...

После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт.

ЕСЛИ НЕ ПОМОГАЕТ...

Если при помощи данного способа не получается дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком метода, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). Не пугайтесь английского языка на странице, там же есть русский текст. 

ДРУГОЙ ВАРИАНТ
Обратитесь за помощью в специальный раздел форума Kaspersky Club
Они знают способ как вам помочь с новыми вариантами, которые не поддаются описанному здесь методу. 


© Amigo-A (Andrew Ivanov): All blog articles.

15 комментариев:

  1. Всем привет!
    Юзер на работе запустил почтовое вложение, как результат-файлы вида email-biger@x-mail.pro.ver-CL 1.5.1.0.id-1486641635-200226172421351995854868.fname-ЖУРНАЛ.XLS.doubleoffset. Есть архивы, которые желательно восстановить.

    Метод перебора описанный тут мне не помог, разработчик по ссылке: https://www.experts-exchange.com/articles/31579/Decrypting-Cryakl-1-4-0-0-1-4-1-0-FAIRYTAIL-Ransomware.html не отвечает, а его старая версия "dec.exe" результатов не дает.

    Встретил на каком-то из форумов: "Привет.Я был зашифрован двойной версией 1.5.1.0. Теперь у меня есть расшифровщик для моих файлов. Может быть, эти файлы будут полезны для разработки универсальных расшифровщиков. Во вложении: зашифрованный файл, расшифрованный файл, программа для поиска ключа, ключ и программа дешифрования для этого ключа." ссылка на файлы: https://yadi.sk/d/zLMgAENP3Lkxdg

    Попробовал программу у себя, пишет ключ найден, а в папке с программой формируется файл "data.ini" с содержимым вида "...ILJIRJJKIQLILPJIPIMQKNNKJPIQPIQIJQPIQLIJQIROJMJ...". Может кто-нибудь знает что дальше делать? Может можно сгенерировать ключ по этому файлу?
    Содержимое "data.ini" одинаково во всех моих файлах, но разное от других форумчан, приславшие свои файлы. Есть у кого идеи?

    ОтветитьУдалить
    Ответы
    1. Удалось разобраться как работать с программой?

      Удалить
    2. здравствуйте. Очень нужна помощь с расшифровкой. Не поделитесь информацией?

      Удалить
  2. С программой работать не очень сложно, но расшифровать этим методом не получилось. У многих не получилось...

    ОтветитьУдалить
    Ответы
    1. Попробуйте проверить работу по тому же алгоритму, но с некириллическим именем пользователя.
      Вместо "Пользователь" чтобы было "User" или цифры. ПК после переименования надо перезагрузить.

      Удалить
    2. Здравствуйте. А есть счастливчики???? У меня уже четвертые сутки кликает, результат =0.А вот эти http://www.dr-shifro.ru/ за 5 минут расшифровали, но ценник......

      Удалить
  3. Здравствуйте все у кого получилось расшифровать???

    ОтветитьУдалить
  4. Могу расшифровать файлы. Обращайтесь на mykola.nec[at]gmail.com

    ОтветитьУдалить
    Ответы
    1. acbarov91[сабака]mail.ru
      Помоги если сможешь расшифровать!
      Формат данного шифровальщика (email-nightmare666@cock.li.ver-CL 1.5.1.0.id-293591273-385314652011930779741192.fname-tp_v9_6_3dessange_backup_201608050344.txt.doubleoffset)

      Удалить
  5. MykolaNec если есть возможность расшифровать мой данные. Нужна помощь друзья. У кого какие варианты? Вариант выше на сайте не помог.

    ОтветитьУдалить
    Ответы
    1. Он указал свой email, пишите туда. Доверяй, но проверяй.

      Удалить
    2. Странно прозвучало конечно. Но спасибо!

      Удалить
    3. Или обратитесь за помощью по ссылке на форум: https://forum.kasperskyclub.ru/index.php?showforum=26
      Вам ответит консультант thyrex или кто-то другой.

      Удалить
  6. Подскажите в скрипте пятый параметр MouseClick('Left',663,447, 2,2); Double click check - это координаты чего?

    ОтветитьУдалить
    Ответы
    1. Автор метода не отвечает. Говорят, что сейчас актуален другой метод для более новой версии. Обратитесь за помощью по ссылке на форум: https://forum.kasperskyclub.ru/index.php?showforum=26
      Вам ответит консультант thyrex или кто-то другой.

      Удалить