{
	"id": "6d179d6c-fda4-41ff-8cf4-5bb2d2a844fd",
	"created_at": "2026-04-06T02:11:30.69744Z",
	"updated_at": "2026-04-10T03:20:34.631929Z",
	"deleted_at": null,
	"sha1_hash": "07fe8a9f6c0aceced9360d1107d3777a6579cb37",
	"title": "Шифровальщик Cryakl или Фантомас разбушевался",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 764594,
	"plain_text": "Шифровальщик Cryakl или Фантомас разбушевался\r\nBy Artem Semenchenko\r\nPublished: 2014-10-22 · Archived: 2026-04-06 01:35:09 UTC\r\nВ прошлом месяце мы зафиксировали всплеск атак на пользователей с использованием шифровальщиков\r\nсемейства Trojan-Ransom.Win32.Cryakl, распространяемых по электронной почте. Потому мы решили\r\nрассказать, что же представляют из себя эти зловреды.\r\nРассылки писем, имитирующих официальные уведомления от имени Высшего Арбитражного Суда РФ, мы\r\nвпервые обнаружили еще в сентябре прошлого года. И с тех пор неоднократно сталкивались с попытками\r\nзлоумышленников заразить пользователей одной из вредоносных программ, используя подобные письма –\r\nаналогичные рассылки были зафиксированы в январе, августе и октябре этого года. Атаки происходили по\r\nустоявшейся схеме: получателю письма сообщают о начале в отношении него административного\r\nделопроизводства и предлагают скачать файл с документами для получения дополнительной информации.\r\nВместо ожидаемых документов потенциальная жертва загружает вредоносную программу, и этой осенью\r\nпопулярностью у злоумышленников пользовались шифровальщики семейства Trojan-Ransom.Win32.Cryakl. Первый представитель этого семейства был добавлен в базы данных «Лаборатории\r\nКасперского» еще 29 апреля. С тех пор семейство успело эволюционировать в своём развитии – пополнить\r\nсписок расширений шифруемых файлов, изменить выбор частей файла для шифрования и способ связи с\r\nсерверами злоумышленников.\r\nОбщие черты семейства\r\nТипичный представитель семейства Cryakl написан на языке Delphi и использует самописный алгоритм\r\nдля шифрования данных. В процессе заражения троянец создает мастер-ключ, который отправляет по\r\nпочте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для\r\nкаждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три\r\nблока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная\r\nструктура, содержащая:\r\nинформацию о размере и расположении зашифрованных блоков,\r\nMD5-хэши от оригинального файла и его заголовка,\r\nконстанты для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,\r\nhttps://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/\r\nPage 1 of 8\n\nID жертвы,\r\nоригинальное имя зашифрованного файла,\r\nметку заражения {CRYPTENDBLACKDC}.\r\nРаспространение\r\nПодавляющее большинство попыток заражения Cryakl зафиксировано в России (почти 2,5 тысячи атак),\r\nследом идут Германия, Казахстан и Украина. Беларусь замыкает первую пятерку пострадавших стран.\r\nПик попыток заражения пришелся на последнюю неделю сентября, когда мы фиксировали почти 600 атак\r\nв день. Возросшая активность троянца также наблюдалась в конце сентября и на второй неделе октября.\r\nОсобо отличились злоумышленники 22 сентября, когда за час разослали модификацию Trojan-Ransom.Win32.Cryakl.ax почти 500 пользователям!\r\nОдна из наиболее свежих модификаций шифровальщика — Trojan-Ransom.Win32.Cryakl.bo – была\r\nобнаружена нами в октябре. Рассмотрим на ее примере, что из себя представляет актуальная версия\r\nзловреда, как она действует и чем отличается от ранних представителей семейства.\r\nПроникновение в систему\r\nTrojan-Ransom.Win32.Cryakl.bo был найден в одной из спам-рассылок, выполненной в уже знакомом стиле.\r\nЕсли получатель письма кликал по предложенной ссылке «Проверить информацию», то через редирект\r\nпопадал на вредоносный сайт, откуда на его компьютер загружался архив Attachment.zip, содержащий\r\nфайл Attachment.scr.\r\nhttps://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/\r\nPage 2 of 8\n\nЗагруженный файл представлял собой дроппер, который устанавливал на компьютер жертвы сразу два\r\nзловреда – предназначенный для кражи паролей троянец Trojan-PSW.Win32.Ruftar (под именем winzip.exe)\r\nи интересующий нас шифровальщик Trojan-Ransom.Win32.Cryakl (под именем winrar.exe).\r\nТехнические подробности\r\nTrojan-Ransom.Win32.Cryakl.bo представляет собой файл формата PE, упакованный коммерческим\r\nпротектором Armadillo 9.64 в надежде затруднить анализ. После снятия протектора можно полюбоваться\r\nна «внутренности» зловреда.\r\nСтроки в распакованном сэмпле\r\nКак видно, Trojan-Ransom.Win32.Cryakl.bo охотится не только за файлами «офисных» форматов, но и за\r\nархивами, образами дисков и файлами популярных программ резервного копирования. Причем последние\r\nпоявились лишь в свежих версиях зловреда. В целом, это ещё раз подтверждает важное правило – бэкапы\r\nнеобходимо хранить вне компьютера.\r\nПосле запуска троянец копирует себя из папки, куда был загружен, в папку C:Program Files (x86)temp под\r\nименем winrar.exe и производит запуск свежесозданного объекта. Дальнейшие действия в системе\r\nвыполняются уже новой копией.\r\nПолучив управление, новая копия Trojan-Ransom.Win32.Cryakl.bo первым делом прописывается в\r\nавтозагрузку компьютера жертвы. Для этого она использует ключ реестра:\r\nhttps://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/\r\nPage 3 of 8\n\nHKLMSOFTWAREMicrosoftWindowsCurrentVersionRun\r\nгде создает параметр с названием: progrmmа\r\nЭтот трюк необходим на случай, если процесс шифрования по каким-либо причинам будет прерван.\r\nНапример, если пользователь выключит компьютер. Тогда при следующей загрузке компьютера,\r\nшифровальщик вновь получит управление.\r\nОднако в случае перезагрузки компьютера, перед Trojan-Ransom.Win32.Cryakl.bo возникнет другая\r\nпроблема: часть данных пользователя уже зашифрована и необходимо продолжить шифрование с теми же\r\nпараметрами, какие были использованы до перезагрузки. Иначе файлы пользователя окажутся\r\nзашифрованными несогласовано, и расшифровать их окажется затруднительно даже для злоумышленника.\r\nСледовательно, зловреду необходимо где-то сохранить нужную информацию так, чтобы она могла\r\nпережить перезагрузку компьютера. Для этих целей Trojan-Ransom.Win32.Cryakl.bo создаёт в той же папке\r\nфайл с неприметным названием:\r\n        C:Program Files (x86)temptemp056.tmp\r\nНа разных этапах работы троянца в этот файл помещается различная «служебная» информация о\r\nвыбранных параметрах шифрования.\r\nСвязь с хозяевами\r\nТеперь всё вроде бы готово для начала шифрования. Однако само по себе оно будет лишено для\r\nзлоумышленников смысла, если они не смогут расшифровать данные (например, в случае, если жертва\r\nпопросит в качестве доказательства расшифровать пару файлов). Поэтому перед началом шифрования\r\nзловред оповещает своих хозяев о проделанной работе, посылая особый POST-запрос к серверу\r\nзлоумышленников. В этом заключается первое отличие Trojan-Ransom.Win32.Cryakl.bo от ранних образцов\r\nэтого семейства, которые посылали сведения на адрес электронной почты по протоколу SMTP.\r\nhttps://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/\r\nPage 4 of 8\n\nPOST-запрос Trojan-Ransom.Win32.Cryakl.bo к серверу злоумышленников и ответ сервера\r\nСтруктура POST-запроса специально выбрана так, чтобы облегчить автоматическое добавление\r\nинформации в базу данных злоумышленников. Она включает следующие поля:\r\nИдентификатор: в качестве идентификатора используется метка времени.\r\nVersion: значение 4.0.0.0 подтверждает наши прежние догадки о том, что семейство зловредов\r\nпрошло некоторую «эволюцию» в своём развитии.\r\nID: представляет собой составную структуру, включающую в себя два идентификатора, а также\r\nтекущую дату и время.\r\nPass: включает в себя видоизменённый ключ, который в дальнейшем будет использоваться для\r\nшифрования данных жертвы.\r\nНа скриншоте также видно, что сервер подтверждает приём данных сообщением с кодом ответа «200» —\r\nэто означает, что данные успешно приняты.\r\nШифрование\r\nДалее троянец рекурсивно ищет файлы нужных форматов и шифрует их. В отличие от ранних\r\nпредставителей семейства Trojan-Ransom.Win32.Cryakl.bo шифрует сразу 255 байт от начала файла.\r\nhttps://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/\r\nPage 5 of 8\n\nПервые образцы, напомним, использовали блок в 29 байт от начала файла.\r\nПроцесс шифрования файлов\r\nОднако, структура в конце файла осталась прежней и всё ещё содержит информацию о начальном блоке в\r\n29 байт.\r\nСтруктура в конце зашифрованного файла\r\nВпрочем, блок 0-255 байт в структуре также присутствует.\r\nhttps://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/\r\nPage 6 of 8\n\nПосле окончания шифрования Trojan-Ransom.Win32.Cryakl.bo меняет картинку на рабочем столе\r\nпользователя на обращение от имени знаменитого ретро-злодея Фантомаса. Французский мастер\r\nпреступления идет в ногу со временем: являясь владельцем электронной «фанто-почты», он способен\r\nрасшифровать файлы, зашифрованные вредоносной программой. Естественно, не бесплатно.\r\nПо сравнению с предыдущими посланиями срок, выделенный жертве на ответ, значительно уменьшен – до\r\n48 часов. Также обратите внимание на то, что злоумышленник не указывает, какую конкретно сумму он\r\nхочет получить за свою «помощь». Не исключено, что она варьируется в зависимости от количества и\r\nкачества зашифрованных файлов. Например, в одном из случаев заражения зловредом из семейства Cryakl\r\nзлоумышленники запросили 1000 долларов. Но перед этим, по словам жертвы, удаленно подключились с\r\nзараженному компьютеру и удалили все резервные копии. Коварство, достойное Фантомаса!\r\nЗащита\r\nК сожалению, расшифровать обработанные Cryakl файлы на данный момент невозможно. Поэтому в\r\nслучае отсутствия резервной копии затронутых файлов жертвам троянца приходится прощаться с данными\r\nили же соглашаться на требования вымогателей. После выплаты требуемой суммы пострадавшему\r\nприсылают утилиту-дешифратор и текстовый файлик с ключом, который подходит только этому\r\nпользователю. Впрочем, получение рабочего ключа, равно как и отклика от злоумышленников, не\r\nгарантировано.\r\nМы рекомендуем заранее позаботиться о безопасности данных:\r\nСделать резервные копии важных файлов и разместить их на отдельном носителе либо на другом\r\nкомпьютере.\r\nИгнорировать письма с подозрительными вложениями и ссылками, даже если они якобы присланы\r\nарбитражным судом или иным официальным органом. В случае возникновения каких-либо\r\nhttps://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/\r\nPage 7 of 8\n\nсомнений стоит связаться с приславшей письмо организацией по телефону или электронной почте,\r\nуказанной на официальном сайте.\r\nУстановить современное антивирусное ПО.\r\nДополнительную защиту могут обеспечить такие специализированные технологии, как Cryptoprotection,\r\nвходящая в состав Kaspersky System Watcher. System Watcher анализирует системные события и позволяет\r\n«откатить» вредоносные изменения. В частности, в случае обнаружения подозрительной попытки доступа\r\nк персональным файлам пользователя, он немедленно создает их локальную резервную копию. Если\r\nокажется, что попытка изменения файла была инициирована вредоносной программой, например,\r\nшифровальщиком, защитное решение удаляет ее, а Cryptoprotection автоматически заменяет\r\nмодифицированные файлы сделанной ранее копией.\r\nhttp://www.youtube.com/watch?v=BwjdZgreCVs\r\nТехнология Cryptoprotection работает в домашних и корпоративных продуктах «Лаборатории\r\nКасперского».\r\nSource: https://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/\r\nhttps://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/\r\nPage 8 of 8",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/"
	],
	"report_names": [
		"24070"
	],
	"threat_actors": [],
	"ts_created_at": 1775441490,
	"ts_updated_at": 1775791234,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/07fe8a9f6c0aceced9360d1107d3777a6579cb37.pdf",
		"text": "https://archive.orkl.eu/07fe8a9f6c0aceced9360d1107d3777a6579cb37.txt",
		"img": "https://archive.orkl.eu/07fe8a9f6c0aceced9360d1107d3777a6579cb37.jpg"
	}
}