В помощь заложникам «Фантомаса»: дешифратор для жертв Cryakl.

У проекта помощи жертвам шифровальщиков-вымогателей No More Ransom есть хорошая новость: бельгийской федеральной полиции в сотрудничестве с «Лабораторией Касперского» удалось получить ключи для восстановления файлов, пострадавших от новых версий зловреда Cryakl, также известного как «Фантомас». Обновленная утилита для расшифровки уже доступна на портале проекта.

Кто такой Cryakl.

Троян-шифровальщик Cryakl (Trojan-Ransom.Win32.Cryakl) известен с 2014 года — поначалу он распространялся через вложения-архивы в письмах, якобы отправленных арбитражным судом в связи с правонарушениями.

В таких сообщениях есть что-то магическое: они волей-неволей заставляют нервничать, и по вложению может щелкнуть даже человек, который точно знает, что так лучше не делать.

Позже письма стали приходить и от разных инстанций — например, от ТСЖ.

Шифруя файлы на компьютере, Cryakl создает длинный ключ, который отправляет на командный сервер. Без таких ключей восстановить файлы, испорченные зловредом, практически невозможно.

Ну а потом он меняет обои на рабочем столе, помещая туда информацию для связи с создателями вымогателя и требование выкупа. К этому всему Cryakl добавляет маску киношного злодея Фантомаса, за что и получил свое второе имя — «Фантомас».

Распространение.

Прозвище «Фантомас» Ransom.Win32.Cryakl.bo получил за использование портрета киношного злодея в сообщении вымогателей.

В смысле механизма распространения данный шифровальщик выделяется своеобразной мимикрией: пользователю приходит электронное письмо, маскирующееся под уведомление Высшего арбитражного суда РФ о возбуждении против него административного дела. Для получения дополнительной информации злоумышленники предлагают скачать файл с «документами».

Методы маскировки классические: красиво оформленное в формате HTML письмо с логотипами ведомства, ссылка на мошеннический ресурс (источник ссылки, разумеется, в тексте письма не виден). Грамотный пользователь может препарировать исходный текст письма и лично убедиться, что никакого отношения к уважаемому ведомству оно не имеет.

Собственно, Cryakl и вирусом-то назвать нельзя, поскольку пользователь заносит его в систему сам и способов дальнейшего распространения в программе не предусмотрено.

Тем не менее в некоторых обстоятельствах на уловку могут попасться даже осторожные люди, на что и рассчитывают создатели «Фантомаса».

Устройство зловреда.

В загруженном архиве с «документами» Attachment.zip содержится исполняемый файл Attachment.scr, который устанавливает на атакуемый компьютер сразу два зловреда: крадущий пароли троянец (устанавливается под именем winzip.exe) и шифровальщик «Фантомас» (устанавливается под именем winrar.exe). Исполняемые файлы упакованы способом, затрудняющим их распознавание антивирусными программами.

Как и другие шифровальщики, «Фантомас» лишает пользователя доступа к его файлам.

Из особенностей конструкции зловреда можно выделить оригинальный алгоритм шифрования данных. Программа генерирует мастер-ключ и отправляет его по электронной почте мошенникам. Затем «Фантомас» начинает шифровать файлы, создавая для каждого из них уникальный ключ на основе мастер-ключа. При этом шифруется не весь файл, а только первые 255 байт и три блока, расположенные в случайных частях.

История успеха.

Как мы уже говорили, добыть ключи удалось благодаря сотрудничеству экспертов «Лаборатории Касперского» и бельгийской полиции.

Расследование началось с того, что отдел по борьбе с компьютерными преступлениями узнал о жертвах вымогателя среди граждан своей страны, а потом обнаружил командный сервер в одном из соседних государств. Операция под руководством федерального прокурора позволила обезвредить этот и несколько других командных серверов, на которые зараженные машины отправляли ключи.

Тогда в дело вступили специалисты «Лаборатории Касперского», которые уже не первый раз помогают правоохранительным органам. Вот и сейчас сотрудничество дало хорошие результаты: эксперты помогли проанализировать найденные данные и извлечь ключи для дешифровки.

Ключи уже добавлены в дешифратор RakhniDecryptor, доступный на сайте No More Ransom. Этот проект, действующий с июля 2016 года, помог бесплатно расшифровать файлы, приведенные в негодность вымогателями, десяткам тысяч людей и лишил злоумышленников как минимум 10 млн евро потенциальной прибыли.

Как расшифровать файлы, зашифрованные Cryakl.

На сайте No More Ransom есть две утилиты для расшифровки файлов, поврежденных Cryakl. Одна предназначена для старых версий Cryakl и существует аж с 2016 года — ее зовут RannohDecryptor.

Скачать ее можно на NoMoreRansom.org, а прочитать, что нужно делать для расшифровки, — здесь.

Вторую утилиту, RakhniDecryptor скачать можно там же, а принцип ее работы изложен вот тут. RakhniDecryptor нужен для расшифровки файлов, поврежденных новыми версиями Cryakl. Если не одна, то другая утилита точно позволят вам восстановить файлы, по которым прошелся Cryakl.

Как обезопасить себя в будущем?

Когда имеешь дело с шифровальщиками, профилактика значительно дешевле и проще лечения. То есть лучше сначала защищаться и в ус не дуть, чем пытаться потом разобраться, как восстановить файлы.

У нас есть несколько советов, как защитить их превентивно:

• Всегда сохраняйте копии важных файлов где-нибудь еще: в облаке, на другом диске, на флешке или на другом компьютере.
• Во-вторых, используйте надежный антивирус. Некоторые защитные решения могут помочь и с резервным копированием файлов.
• В-третьих, не скачивайте программы из подозрительных источников. Их установщики могут содержать то, что вы совсем не планировали ставить на свой компьютер.
• Наконец, не открывайте вложения из писем от незнакомых адресатов, даже если эти письма выглядят очень важными и убедительными. Если есть сомнения, лучше позвоните по телефону, указанному на официальном сайте организации.

Zdislav Group - канал с уникальным контентом из Нью-Йорка! Рубрика "Книга в день" - это выжимка самой сути из бизнес книг, многие из которых даже не были опубликованы в Росиии!

Digital Gold - канал о цифровых валютах, интернет активах и будущем денег, а также дайджест актуальных статей из Нью-Йорка.

Другой Telegram - Тут я рассказываю, как зарабатываю в Telegram. Публикую кейсы, делюсь информацией, которой нигде не найти. Информация полезна для тех, кто интересуется заработком на каналах в Telegram.