Меню
Поиск

Опубликован дешифратор для жертв зловреда Cryakl

13 февраль, 2018 - 12:32
Опубликован дешифратор для жертв зловреда Cryakl

Бельгийской федеральной полиции в сотрудничестве с «Лабораторией Касперского» удалось получить ключи для восстановления файлов, пострадавших от новых версий зловреда Cryakl, также известного как «Фантомас». Обновленная утилита для расшифровки доступна на портале проекта помощи жертвам шифровальщиков-вымогателей No More Ransom.

Троян-шифровальщик Cryakl (Trojan-Ransom.Win32.Cryakl) известен с 2014 года — поначалу он распространялся через вложения-архивы в письмах, якобы отправленных арбитражным судом в связи с правонарушениями. Позже письма стали приходить и от других инстанций — например, от ТСЖ.

Шифруя файлы на компьютере, Cryakl создает длинный ключ, который отправляет на командный сервер. Без таких ключей восстановить файлы, испорченные зловредом, практически невозможно. Потом он меняет обои на рабочем столе, помещая туда информацию для связи с создателями вымогателя и требование выкупа. К этому всему Cryakl добавляет маску киношного злодея Фантомаса, за что и получил свое второе имя — «Фантомас».

Добыть ключи удалось благодаря сотрудничеству экспертов «Лаборатории Касперского» и бельгийской полиции. Расследование началось с того, что отдел по борьбе с компьютерными преступлениями узнал о жертвах вымогателя среди граждан своей страны, а потом обнаружил командный сервер в одном из соседних государств. Операция под руководством федерального прокурора позволила обезвредить этот и несколько других командных серверов, на которые зараженные машины отправляли ключи.

Тогда в дело вступили специалисты «Лаборатории Касперского», которые помогли проанализировать найденные данные и извлечь ключи для дешифровки.

Ключи уже добавлены в дешифратор RakhniDecryptor, доступный на сайте No More Ransom, а федеральная полиция Бельгии отныне является официальным партнером проекта. Этот проект, действующий с июля 2016 г., помог бесплатно расшифровать файлы, приведенные в негодность вымогателями, десяткам тысяч людей и лишил злоумышленников как минимум 10 млн евро потенциальной прибыли.

На сайте No More Ransom есть две утилиты для расшифровки файлов, поврежденных Cryakl. Одна предназначена для старых версий Cryakl и существует аж с 2016 г. — ее зовут RannohDecryptor. Вторую утилиту, RakhniDecryptor, обновили недавно, добавив в нее ключи с сервера, полученного бельгийской полицией. RakhniDecryptor нужен для расшифровки файлов, поврежденных новыми версиями Cryakl.