12/02/2018

Ofiary Cryakl/Fantomas uratowane dzięki nowemu narzędziu deszyfrującemu

Informacje Zagrożenia

Mamy dobre wieści w związku z projektem No More Ransom, którego celem jest pomoc ofiarom zagrożenia ransomware: belgijska policja wraz z Kaspersky Lab zdobyły klucze służące do przywracania plików zaszyfrowanych przy użyciu nowych wersji programu żądającego okupu Cryakl, znanego także jako Fantomas. Zaktualizowane narzędzie deszyfrujące jest już dostępne na stronie projektu.

Co to jest Cryakl?

Cryakl to trojan żądający okupu, który jest wykrywany jako Trojan-Ransom.Win32.Cryakl. Początkowo był on rozprzestrzeniany poprzez archiwa dołączone do wiadomości e-mail, które były rozsyłane w imieniu sądu w związku z domniemanymi wykroczeniami. Zwykle wiadomości takie wzbudzają u odbiorców niepokój, a załącznik klikają nawet ci, którzy mają większe pojęcie o takich oszustwach. Następnie e-maile są zmieniane, tak aby wyglądem przypominały wiadomości od innych organizacji, np. lokalnych stowarzyszeń właścicieli domów.

Szyfrując pliki na komputerze ofiary, Cryakl tworzy długi klucz i wysyła go do serwera kontroli. Bez tego klucza przywrócenie plików zajętych przez wspomniany szkodliwy program jest raczej niemożliwe. Później Cryakl wyświetla na pulpicie informację o okupie wraz z danymi kontaktowymi do jego twórców. Co ciekawe, widoczna jest także maska postaci z francuskiego filmu z 1964 r., Fantomasa, stąd alternatywna nazwa zagrożenia. Cryakl atakuje przeważnie użytkowników w Rosji.

Historia ze szczęśliwym zakończeniem

Jak już wspomnieliśmy, nasi eksperci wraz z belgijską policją zdobyli klucze główne. Sprawę zaczęto badać, gdy jednostka zajmująca się zwalczaniem przestępczości komputerowej dowiedziała się o ofiarach ransomware w Belgii, a następnie zlokalizowała serwer kontroli w sąsiednim kraju. Działania pod kierownictwem belgijskiego prokuratora federalnego zneutralizowały ten, a także kilka innych serwerów kontroli, które otrzymywały klucze główne z zainfekowanych komputerów. Wówczas do akcji wkroczył Kaspersky Lab, który nie po raz pierwszy już w swojej historii asystował organom ścigania w takich sprawach. Podobnie jak we wcześniejszych sytuacjach, działania przyniosły żądany efekt: nasi eksperci pomogli przeanalizować uzyskane dane i wydobyli z nich klucze deszyfrujące.

Klucze zostały już dodane do narzędzia RakhniDecryptor na stronie No More Ransom, a policja federalna w Belgii jest teraz oficjalnym partnerem wspomnianego projektu. Projekt No More Ransom został uruchomiony w lipcu 2016 roku i do dzisiaj nieodpłatnie pomógł dziesiątkom tysięcy osób w odszyfrowaniu plików, które zostały zainfekowane przez szkodliwe oprogramowanie żądające okupu, pozbawiając szantażystów co najmniej 10 milionów euro potencjalnego zysku.

Jak odzyskać pliki zmienione przez ransomware Cryakl

Strona No More Ransom oferuje dwa narzędzia umożliwiające odszyfrowanie plików uszkodzonych w wyniku infekcji Cryakl. Jeden to RannohDecryptor i jest on przeznaczony do starszych wersji Cryakl. Można go pobrać ze strony NoMoreRansom.org, a instrukcje pomagające w odszyfrowaniu znajdują się tutaj.

Niedawno w serwisie umieściliśmy drugie narzędzie o nazwie RakhniDecryptor, zawierające klucze główne z serwerów zajętych przez belgijską policję. Można je pobrać z tej samej strony, a związane z nim instrukcje znajdują się tutaj. RakhniDecryptor jest pomocny w przypadku odszyfrowania nowszych wersji Cryakl. Oba te narzędzia powinny bez problemu przywrócić wszystkie pliki zainfekowane przez Cryakl.

Jak uniknąć infekcji?

Jeśli chodzi o programy szyfrujące, które żądają okupu za przywrócenie plików, podejście prewencyjne jest znacznie tańszym rozwiązaniem niż leczenie zainfekowanego sprzętu. Innymi słowy, lepiej jest zabezpieczać się i spać spokojnie. Poniżej publikujemy kilka wskazówek, które są przydatne w ochronie przed ransomware:

  1. Zawsze dbaj o to, aby mieć najnowszą kopię swoich najważniejszych plików: w chmurze, na innym dysku, na pendrivie lub innym komputerze. Więcej informacji na temat kopii zapasowych jest dostępne na tej stronie.
  2. Korzystaj z niezawodnego programu antywirusowego. Niektóre z nich — na przykład Kaspersky Total Security— mogą pomóc w wykonywaniu kopii zapasowych plików.
  3. Nie pobieraj programów z podejrzanych źródeł. Ich instalatory mogą zwierać coś, czego nie chcesz mieć na swoim komputerze.
  4. Nie otwieraj załączników w wiadomościach e-mail pochodzących od nieznanych Ci nadawców, nawet jeśli wygląda na to, że jest to coś ważnego lub wiarygodnego. W razie wątpliwości znajdź numer telefonu na oficjalnej stronie danej organizacji i upewnij się telefonicznie.