CryptoWall е друг неприятен вирус за рансъмуер, който заразява операционните системи Windows и е актуализираната версия на Криптозащита ransomware вирус. Като добро „дете“, то запазва оригиналните си способности, както и някои нови. CryptoWall криптира всичките ви файлове и ги държи заключени и няма начин да ги използвате, докато не платите поискания откуп. CryptoWall може да шифрова всички известни типове файлове (документи, PDF, снимки, видеоклипове и други) на всички свързани устройства за съхранение или местоположения. Това означава, че може да зарази (криптира) всички файлове на локално или мрежово устройство(а), дори в системи за съхранение в облак (например Google Drive, Dropbox, Box и др.). Cryptowall прави това, като добавя силно криптиране (RSA 2048) към всеки файл. С прости думи, вече не можете да отваряте – или да работите с – вашите файлове.
След Cryptowall инфекция, вирусът създава няколко файла във всяка заразена папка с име DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html
, и DECRYPT_INSTRUCTION.url които съдържат бележки как да платите откупа, за да декриптирате криптираните файлове, като следвате конкретна процедура, използвайки Интернет браузър Tor.В Cryptowall's откупът е настроен на 500$ (в биткойни), ако го платите в крайния срок, в противен случай откупът ще бъде увеличен на 1000$. След плащане хакерите ще ви изпратят вашия частен ключ за декриптиране, който може – уж – да декриптира вашите файлове. Проблемът тук е, че дори и да платите откупа, не можете да сте сигурни, че вашите файлове ще бъдат възстановени. Единствената гаранция е, че парите ви ще отидат при някой хакер, който ще продължи да прави същото с други жертви.
Пълният CryptoWall информационното съобщение е както следва:
“
Какво се случи с вашите файлове?
Всичките ви файлове бяха защитени със силно криптиране с RSA-2048 с помощта на CryptoWall.
Повече информация за ключовете за криптиране, използващи RSA-2048, можете да намерите тук: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Какво означава това ?
Това означава, че структурата и данните във вашите файлове са необратимо променени, няма да можете да работите с тях, да ги четете или да ги виждате,
това е същото като да ги загубите завинаги, но с наша помощ можете да ги възстановите.
Как се случи това ?
Специално за вас на нашия сървър беше генерирана двойката секретни ключове RSA-2048 – публичен и частен.
Всичките ви файлове са криптирани с публичния ключ, който е прехвърлен на вашия компютър чрез интернет.
Декриптирането на вашите файлове е възможно само с помощта на частния ключ и програмата за декриптиране, която е на нашия таен сървър.
Какво да правя ?
Уви, ако не вземете необходимите мерки за определеното време, тогава условията за получаване на частния ключ ще бъдат променени.
Ако наистина цените вашите данни, ние ви предлагаме да не губите ценно време в търсене на други решения, защото те не съществуват.
За по-конкретни инструкции, моля, посетете личната си начална страница, има няколко различни адреса, сочещи към вашата страница по-долу:
1.https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2.https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3.https://kpa2i8ycr9jxqwilp.onion.to/xxxx
Ако по някаква причина адресите не са налични, изпълнете следните стъпки:
1. Изтеглете и инсталирайте tor-браузър: http://www.torproject.org/projects/torbrowser.html.en
2. След успешна инсталация стартирайте браузъра и изчакайте инициализацията.
3. Въведете в адресната лента: kpa2i8ycr9jxqwilp.onion/xxxx
4.Следвайте инструкциите на сайта.
ВАЖНА ИНФОРМАЦИЯ:
Вашата лична страница: kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
Вашата лична страница (с помощта на TOR): kpa2i8ycr9jxqwilp.onion/xxxx
Вашият личен идентификационен номер (ако отворите сайта (или TOR) директно): xxxx
“
Как да предотвратим заразяване с CryptoWall.
- Предпазните мерки винаги са най-сигурният начин да запазите компютъра си невредим.
- Трябва да бъдете много внимателни всеки път, когато отваряте непознат имейл, особено ако такъв имейл съдържа фалшиво известие (напр. „Уведомление за изключение на UPS“) или прикачени файлове .EXE, .SCR или .ZIP.
- Трябва да бъдете внимателни в сайтовете за измама, които ви подканват да инсталирате софтуер, от който се предполага, че имате нужда и НЕ ИНСТАЛИРАТЕ такъв софтуер.
- Най-добрият начин за справяне с всички видове зловреден софтуер е винаги да имате чист и възможно най-нов архивиране на важните ви файлове, съхранявани в друг OFFLINE (изключен) носител (напр. външен USB твърд диск, DVD ROM, и др.). Ако направите това, можете първо да дезинфекцирате компютъра си и след това да възстановите всичките си файлове обратно от чистото архивиране.
информация: За тази задача използвам надежден интелигентен и БЕЗПЛАТЕН (за лична употреба) софтуер за архивиране, наречен „SyncBackFree”. Подробна статия за това как да използвате SyncBackFree за архивиране на вашите важни файлове могат да бъдат намерени тук. - Техниците на корпоративната мрежа могат да използват софтуер за създаване на дискови изображения (като „Acronis True Image”), за да правите резервни копия на изображения на състоянието на работни станции (или сървъри) в насрочени часове. По този начин процесът на възстановяване е много по-лесен и по-бърз и е ограничен само от паметта, която имате на разположение от процеса на изобразяване.
Как да върнете вашите файлове след заразяване с Cryptowall.
За съжаление, БЕЗПЛАТЕН инструмент или метод за декриптиране на криптирани файлове на Cryptowall НЕ СЪЩЕСТВУВА (до деня на писане на тази статия – в края на юни 2014 г.). Така че единствените опции, които трябва да върнете вашите файлове, са следните:
- Първият вариант е да платите откупа*. След това ще получите от престъпниците вашия частен инструмент за декриптиране, за да декриптирате вашите файлове.
* Забележка: Ако решите да платите откупа, трябва да го направите на свой собствен риск. Престъпниците не са най-надеждните хора в света. - Вторият вариант е да дезинфекцирате компютъра си и след това да възстановите файловете си от чисто архивно копие (в случай, че имате такъв).
- И накрая, ако имате Windows 8, 7 или Vista OS и „Възстановяване на системата” функцията не е деактивирана във вашата система (например след вирусна атака), след което след дезинфекция на системата можете да опитате да възстановите вашите файлове в предишни версии от “Копия в сянка”. (Вижте по-долу в тази статия как да направите това).
Как да премахнете вируса Cryptowall и да възстановите вашите файлове от Shadow Copies.
Част 1. Как да премахнете Инфекция на Cryptowall.
внимание : Ако искате да премахнетеCryptowall инфекция от вашия компютър, трябва да осъзнаете, че вашите файлове ще останат криптирани, дори ако дезинфекцирате компютъра си от този гаден зловреден софтуер.
ОЩЕ ВЕДНЪЖ:НЕ ПРОДЪЛЖАВАЙТЕ ДА махнете ВИРУС НА КРИПТОСТЕНА ОСВЕН АКО:
ИМАТЕ ЧИСТО РЕЗЕРВНО КОПИЕ НА ВАШИТЕ ФАЙЛОВЕ, ЗАПАЗЕНО НА РАЗЛИЧНО МЯСТО (като изключен преносим твърд диск.)
или
НЕ СЕ НУЖДАЕТЕ ОТ КРИПИРАНИ ФАЙЛОВЕ, ЗАЩОТО НЕ СА ТОЛКОВА ВАЖНИ ЗА ВАС.
или
ИСКАТЕ ДА ГО ОПИТВАТЕ ДА ВЪЗСТАНОВИ ВАШИТЕ ФАЙЛОВЕ ИЗПОЛЗВАНЕ НА ФУНКЦИЯТА ЗА СЕНЧЕВИ КОПИИ (Част 2 от тази публикация).
Така че, ако сте взели окончателното си решение, продължете, първо да премахнете Cryptowall заразяване с ransomware от вашия компютър и след това да опитате да възстановите вашите файлове, като следвате процедурата по-долу:
Стъпка 1: Стартирайте компютъра си в „Безопасен режим с работа в мрежа“
Да го направя,
1. Изключете компютъра си.
2.Стартирайте компютъра си (Включване) и докато компютърът ви се зарежда, Натиснете на "F8" преди да се появи логото на Windows.
3. С помощта на стрелките на клавиатурата изберете "Безопасен режим в мрежата" опция и натиснете "Enter".
![безопасен режим-с-мрежа_thumb1_thu[1]](/f/4ec247f7e9f75ab623dffb55c9103229.jpg "безопасен режим-с-мрежа_thumb1_thu[1]")
Стъпка 2. Спрете и изтрийте работещи процеси на Cryptowall с RogueKiller.
RogueKiller е програма за защита от злонамерен софтуер, предназначена за откриване, спиране и премахване на генерични зловреден софтуер и някои усъвършенствани заплахи като руткитове, мошеници, червеи и др.
1.Изтегли и спаси "RogueKiller" помощна програма на вашия компютър"* (например вашия работен плот)
Забележка*: Изтегли версия x86 или X64 според версията на вашата операционна система. За да намерите версията на вашата операционна система, "Кликнете с десния бутон"на иконата на вашия компютър изберете "Имоти"и погледни"Тип на системата" раздел.
2.Кликнете два пъти да тичаш RogueKiller.
3. Изчакайте, докато предварителното сканиране приключи и след това прочетете и „Приемам” лицензионните условия.
4. Натисни "Сканиране”, за да сканирате компютъра си за злонамерени заплахи и злонамерени записи при стартиране.
5. Накрая, когато приключи пълното сканиране, натиснете "Изтрий" бутон, за да премахнете всички намерени злонамерени елементи.
6. Близо “RogueKiller“ и продължете към следващата стъпка.
Стъпка 3. Премахване Инфекция на Cryptowall с Malwarebytes Anti-Malware Free.
Изтегли и Инсталирай една от най-надеждните БЕЗПЛАТНИ анти-зловреден софтуер програми днес за почистване на вашия компютър от останалите злонамерени заплахи. Ако искате да останете постоянно защитени от заплахи от злонамерен софтуер, съществуващи и бъдещи, препоръчваме ви да инсталирате Malwarebytes Anti-Malware Premium:
Malwarebytes™ Защита
Премахва шпионски, рекламен и злонамерен софтуер.
Започнете безплатно изтегляне сега!
Инструкции за бързо изтегляне и инсталиране:
- След като щракнете върху връзката по-горе, натиснете върху „Започнете моята безплатна 14-пробен период” опция, за да започнете изтеглянето си.
![malwarebytes-downlaod_thumb1_thumb2_[1]](/f/85c9e21227a57efd2f74d07ac2f5d2f1.jpg "malwarebytes-downlaod_thumb1_thumb2_[1]")
- За да инсталирате БЕЗПЛАТНА версия от този невероятен продукт, премахнете отметката от „Активирайте безплатна пробна версия на Malwarebytes Anti-Malware Premium” опция на последния инсталационен екран.
![malwarebytes-anti-malware-free-insta[2]](/f/6e4df1ccb6ff3af1fba1ad7e521a5f0c.jpg "malwarebytes-anti-malware-free-insta[2]")
Сканирайте и почистете компютъра си с Malwarebytes Anti-Malware.
1. бягай "Malwarebytes Anti-Malware" и позволете на програмата да се актуализира до най-новата си версия и злонамерена база данни, ако е необходимо.
![update-malwarebytes-anti-malware_thu[1]](/f/3831a57d87b5e636c63c4eafdff5dd8a.jpg "update-malwarebytes-anti-malware_thu[1]")
2. Когато процесът на актуализиране приключи, натиснете бутона „Сканирай сега”, за да започнете да сканирате системата си за злонамерен софтуер и нежелани програми.
![start-scan-malwarebytes-anti-malware[2]](/f/92b1173cd459e91620706cc55780df64.jpg "start-scan-malwarebytes-anti-malware[2]")
3. Сега изчакайте, докато Malwarebytes Anti-Malware завърши сканирането на вашия компютър за злонамерен софтуер.
4. Когато сканирането приключи, първо натиснете „Карантина Всички” за премахване на всички намерени заплахи.
5. Изчакайте, докато Malwarebytes Anti-Malware премахне всички инфекции от вашата система и след това рестартирайте компютъра (ако се изисква от програмата), за да премахнете напълно всички активни заплахи.
![wwrq1ctw_thumb1_thumb_thumb_thumb_th[2]](/f/cbf0ad5eb2299af76dc78b52b503ba4f.jpg "wwrq1ctw_thumb1_thumb_thumb_thumb_th[2]")
6. След като системата се рестартира, стартирайте отново Malwarebytes' Anti-Malware за да проверите дали няма други заплахи във вашата система.
Част 2. Как да възстановите криптирани файлове на Cryptowall от копия в сянка.
След като сте дезинфекцирали компютъра си от Cryptowall вирус, тогава е време да опитате да възстановите вашите файлове до състоянието им преди заразяването. Има два (2) метода за това:
Метод 1: Възстановете криптирани файлове на Cryptowall, като използвате функцията на Windows „Възстановяване на предишни версии“.
Метод 2: Възстановете криптирани файлове на Cryptowall с помощта на помощната програма „Shadow Explorer“.
внимание: Тази процедура работи само на най-новите операционни системи (Windows 8, 7 и Vista) и само ако Възстановяване на системата функцията преди това не е била деактивирана на заразения компютър.
Метод 1: Как да възстановите криптирани файлове на Cryptowall с помощта на функцията „Предишни версии“.
1. Придвижете се до папката или файла, който искате да възстановите в предишно състояние и Кликнете с десния бутон върху него.
2. От падащото меню изберете „Възстановяване на предишни версии”. *
3. След това изберете конкретна версия на папка или файл и след това натиснете:
- “Отвори”, за да видите съдържанието на тази папка/файл.
- “копие”, за да копирате тази папка/файл на друго място на вашия компютър (например вашия външен твърд диск).
- “Възстанови”, за да възстановите файла на папката на същото място и да замените съществуващия.
Метод 2: Как да възстановите криптирани файлове на Cryptowall с помощта на помощната програма „Shadow Explorer“.
ShadowExplorer, е безплатен заместител на Предишни версии функция на Microsoft Windows Vista, 7 и 8 OS и можете да я използвате за възстановяване на изгубени или повредени файлове от Копия в сянка.
1. Изтегли ShadowExplorer полезност от тук. (Можете или да изтеглите Инсталационна програма на ShadowExplorer или Преносима версия на програмата).
2. Бягай ShadowExplorer помощна програма и след това изберете датата, на която искате да възстановите копието в сянка на вашата папка/файлове.
3. Сега отидете до папката/файла, който искате да възстановите до предишната му версия, Кликнете с десния бутон върху него и изберете „Експортиране”.
![Експортиране на ShadowExplorer[5]](/f/8e61d7999dad12db5c469deb2ccff192.jpg "Експортиране на ShadowExplorer[5]")
4. Накрая посочете къде ще бъде експортирано/записано копието в сянка на вашата папка/файл (например вашия работен плот) и натиснете “Добре”.
Късмет!.
Здравейте, и аз исках да ви благодаря! Успях да го премахна доста бързо сам, Malwarebytes винаги е моята помощ в тези случаи. Но възстановяването на файла беше по-трудно. Ontrack и подобни програми не ме доведоха до никъде (всички файлове са повредени) и предишните версии също не работеха. Тогава намерих това и опитах shadow explorer! Това работи като чар!
За мое щастие, заразеният компютър (майките ми) беше открит в рамките на часове, защото започна да се забърква със споделена папка на Dropbox, което предизвика съобщения на моя компютър. Сега просто трябва да намеря начин да попреча на програми като тази да се забъркват с моите архиви в Dropbox и Google Drive, сега, когато този тип неща се стартират отново. Ако някой има идеи, моля да ми каже!
Това е най-ужасното изживяване, което човек ще изтърпи, не го пожелавам на най-големия си враг, успех на всички, продължавайте публикациите, може би някой може да намери решение, надяваме се и се молим, току-що се заразих и търся решение, аз също съм на win Xp и ще публикувам отново, ако намеря нещо полезен. Благодаря на всички за помощта.
Уважаеми всички,
Преди няколко дни лаптопът ми беше атакуван от горния вирус и сега се опитвам да намеря решение. Тъй като последният пост по-горе е от 15 април, се чудя дали някой е срещал някакво друго решение? Някой пробвал ли е процедурата, спомената от Кал (т.е.
извадете твърдия диск, поставете го в друга машина като външно устройство и стартирайте програма за възстановяване на файлове)? Много благодаря предварително.
Здравейте, имам същия вирус и нямам нищо важно на компютъра си, мога ли просто да инсталирам нов Windows? Тогава вирусът е изчезнал със сигурност, нали? Моля, отговорете възможно най-скоро, защото моят интернет оператор блокира връзката ми, защото този глупав вирус. Благодаря ви предварително :)
Хубава статия, намерих следното решение за възстановяване на файлове на друг уебсайт и искам да знам дали сте чували за него и дали работи. Благодаря предварително! кал
——————————————————————————————————–
Ами ако нямате сенчести копия и нямате резервно копие на вашите файлове? Все още има начин.
Както казах, Cryptowall не криптира оригиналните ви файлове. Той ще направи копие от него, ще го криптира и ще изтрие оригиналния файл.
Както вероятно знаете, изтрит файл може да бъде възстановен, ако нищо не е записано върху него на вашия диск. Добре е да изключите бързо машината скоро след заразяването!
Сега всичко, което трябва да направите, е да извадите твърдия си диск, да го поставите в друга машина като външно устройство или второ устройство, ако нямате sata докинг, да стартирате програма за възстановяване на файлове.
Използвам Ontrack EasyRecovery или R-Studio, или дори DataRescue за Mac.
Професионалната версия на Ontrack EasyRecovery може също да може да възстанови файлове от RAID масив, ако един от вашите мрежови споделени данни е криптиран и нямате резервни копия.
Всички тези програми ще могат да възстановят оригиналните файлове, изтрити от Cryptowall.
Просто се уверете, че когато ги стартирате, НЕ го правите директно на оригиналната машина, тъй като чрез запис на вашия заразен диск програмата може да презапише изтритите ви файлове.
Трябва да можете да възстановите 99% от вашите файлове с помощта на този метод.
Мисля, че взех нещо за cryptowall преди около месец, първо забелязах, че не мога да отворя файлове, след което забелязах decrypt_instruction.txt на работния плот. Без да знам какво знам сега, току-що започнах да изтривам всичко, което казваше нещо за дешифриране... Никога не съм бил насочван към сделката за БИТКОЙН уеб страница. Оттогава стартирах Malwarebvtes и Spyhunter, сега искам да се опитам да възстановя някои от моите файлове с този Shadow Explorer... някакви допълнителни съвети?? Благодаря!!