CryptoWall je další ošklivý ransomware virus, který infikuje operační systémy Windows a je to aktualizovaná verze CryptoDefense ransomware virus. Jako správné ‚dítě‘ si zachovává své původní schopnosti, ale i některé nové. CryptoWall zašifruje všechny vaše soubory a uchová je uzamčené a neexistuje způsob, jak je použít, dokud nezaplatíte požadované výkupné. CryptoWall dokáže šifrovat všechny známé typy souborů (dokumenty, PDF, fotografie, videa a další) na všech připojených úložných jednotkách nebo umístěních. To znamená, že může infikovat (zašifrovat) všechny soubory na místním nebo síťovém disku (discích), a to i v cloudových úložných systémech (např. Disk Google, Dropbox, Box atd.). Cryptowall dělá to přidáním silného šifrování (RSA 2048) do každého souboru. Jednoduše řečeno, své soubory již nemůžete otevírat – ani s nimi pracovat.
Po Cryptowall virus vytvoří několik souborů v každé infikované složce s názvem DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html, a DECRYPT_INSTRUCTION.url
které obsahují poznámky o tom, jak zaplatit výkupné za účelem dešifrování zašifrovaných souborů podle konkrétního postupu pomocí Internetový prohlížeč Tor.The Cryptowall“Výkupné je nastaveno na 500 $ (v bitcoinech), pokud je zaplatíte v termínu, jinak bude výkupné navýšeno na 1 000 $. Po zaplacení vám hackeři zašlou váš soukromý dešifrovací klíč, který může – údajně – dešifrovat vaše soubory. Problémem je, že i když zaplatíte výkupné, nemůžete si být jisti, že vaše soubory budou obnoveny. Jedinou zárukou je, že vaše peníze půjdou nějakému hackerovi, který bude dělat to samé ostatním obětem.
Plný CryptoWall informační zpráva je následující:
“
Co se stalo s vašimi soubory?
Všechny vaše soubory byly chráněny silným šifrováním pomocí RSA-2048 pomocí CryptoWall.
Více informací o šifrovacích klíčích pomocí RSA-2048 naleznete zde: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Co to znamená ?
To znamená, že struktura a data ve vašich souborech byly nenávratně změněny, nebudete s nimi moci pracovat, číst je ani je vidět,
je to stejné, jako když je navždy ztratíte, ale s naší pomocí je můžete obnovit.
Jak se to stalo ?
Speciálně pro vás byl na našem serveru vygenerován tajný klíčový pár RSA-2048 – veřejný a soukromý.
Všechny vaše soubory byly zašifrovány veřejným klíčem, který byl přenesen do vašeho počítače přes internet.
Dešifrování vašich souborů je možné pouze pomocí soukromého klíče a dešifrovacího programu, který je na našem tajném serveru.
Co mám dělat ?
Bohužel, pokud po stanovenou dobu neprovedete nezbytná opatření, změní se podmínky pro získání soukromého klíče.
Pokud si svých dat opravdu vážíte, pak vám doporučujeme, abyste neztráceli drahocenný čas hledáním jiných řešení, protože ta neexistují.
Pro konkrétnější pokyny navštivte svou osobní domovskou stránku, níže na vaši stránku odkazuje několik různých adres:
1.https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2.https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3.https://kpa2i8ycr9jxqwilp.onion.to/xxxx
Pokud z nějakého důvodu nejsou adresy dostupné, postupujte takto:
1. Stáhněte a nainstalujte prohlížeč tor: http://www.torproject.org/projects/torbrowser.html.en
2. Po úspěšné instalaci spusťte prohlížeč a počkejte na inicializaci.
3. Do adresního řádku napište: kpa2i8ycr9jxqwilp.onion/xxxx
4. Postupujte podle pokynů na stránce.
DŮLEŽITÁ INFORMACE:
Vaše osobní stránka: kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
Vaše osobní stránka (pomocí TOR): kpa2i8ycr9jxqwilp.onion/xxxx
Vaše osobní identifikační číslo (pokud stránku (nebo TOR ) otevřete přímo): xxxx
“
Jak zabránit infekci CryptoWall.
- Preventivní opatření je vždy nejbezpečnějším způsobem, jak udržet váš počítač bez poškození.
- Musíte být velmi opatrní, kdykoli otevřete neznámý e-mail, zejména pokud takový e-mail obsahuje falešné oznámení (např. ‚UPS Exception Notification‘) nebo přílohy souborů .EXE, .SCR nebo .ZIP.
- Musíte být opatrní na podvodných stránkách, které vás vyzývají k instalaci softwaru, který údajně potřebujete, a takový software NEINSTALUJTE.
- Nejlepší způsob, jak se vypořádat se všemi typy malwarových infekcí, je mít vždy čisté a co nejnovější zálohování vašich důležitých souborů uložených na jiném OFFLINE (odpojeném) médiu (např. externí USB HDD, DVD ROM, atd.). Pokud to uděláte, můžete nejprve dezinfikovat počítač a poté obnovit všechny soubory zpět z čisté zálohy.
Info: Pro tento úkol používám spolehlivý inteligentní a ZDARMA (pro osobní použití) zálohovací software s názvem „SyncBackFree”. Podrobný článek o použití SyncBackFree k zálohování důležitých souborů naleznete tady. - Technici podnikové sítě mohou používat software pro zobrazování disků (např.Acronis True Image”), aby bylo možné provádět zálohy obrazu stavu pracovních stanic (nebo serverů) v naplánovaných časech. Díky tomu je proces obnovy mnohem snazší a rychlejší a je omezen pouze na úložiště, které máte k dispozici z procesu zobrazování.
Jak získat své soubory zpět po infekci Cryptowall.
BEZPLATNÝ dešifrovací nástroj nebo metoda k dešifrování šifrovaných souborů Cryptowall bohužel NEEXISTUJE (do dne napsání tohoto článku – do konce června 2014). Takže jediné možnosti, jak získat své soubory zpět, jsou následující:
- První možností je zaplatit výkupné*. Poté od zločinců obdržíte svůj soukromý dešifrovací nástroj k dešifrování vašich souborů.
* Poznámka: Pokud se rozhodnete zaplatit výkupné, musíte tak učinit na vlastní riziko. Zločinci nejsou nejdůvěryhodnější lidé na světě. - Druhou možností je dezinfikovat počítač a poté obnovit soubory z čisté zálohy (v případě, že nějakou máte).
- A konečně, pokud máte operační systém Windows 8, 7 nebo Vista a „Obnovení systému” funkce nebyla ve vašem systému deaktivována (např. po virovém útoku), poté po dezinfekci systému můžete zkusit obnovit soubory v předchozích verzích z „Stínové kopie”. (Jak na to, viz níže v tomto článku).
Jak odstranit virus Cryptowall a obnovit soubory ze stínových kopií.
Část 1. Jak odstranit Cryptowall infekce.
Pozornost : Pokud chcete odstranitCryptowall infekce z vašeho počítače, musíte si uvědomit, že vaše soubory zůstanou zašifrované, i když svůj počítač dezinfikujete od tohoto ošklivého malwaru.
JEŠTĚ JEDNOU:NEPOKRAČUJTE V ODSTRAŇOVÁNÍ CRYPTOWALL Virus POKUD:
MÁTE ČISTOU ZÁLOŽNÍ KOPII SVÝCH SOUBORŮ ULOŽENÝCH NA JINÉM MÍSTĚ (např. na odpojeném přenosném pevném disku.)
nebo
ŠIFROVANÉ SOUBORY NEPOTŘEBUJETE, PROTOŽE PRO VÁS NEJSOU TAK DŮLEŽITÉ.
nebo
CHCETE ZKUSIT OBNOVIT SVÉ SOUBORY POMOCÍ FUNKCE STÍNOVÝCH KOPIE (2. část tohoto příspěvku).
Pokud jste tedy přijali konečné rozhodnutí, pokračujte nejprve k odstranění Cryptowall infekce ransomware z vašeho počítače a poté se pokuste obnovit soubory podle následujícího postupu:
Krok 1: Spusťte počítač v „Nouzovém režimu se sítí“
Udělat toto,
1. Vypněte počítač.
2.Spusťte počítač (Zapnout) a při spouštění počítače lis "F8než se zobrazí logo Windows.
3. Pomocí šipek na klávesnici vyberte „Nouzový režim se sítía stiskněte "Enter".
Krok 2. Zastavte a odstraňte běžící procesy Cryptowall pomocí RogueKiller.
RogueKiller je antimalwarový program určený k detekci, zastavení a odstranění generického malwaru a některých pokročilých hrozeb, jako jsou rootkity, podvodníci, červi atd.
1.Stažení a Uložit "RogueKiller" nástroj na vašem počítači'* (např. na ploše)
Oznámení*: Stažení verze x86 nebo X64 podle verze vašeho operačního systému. Chcete-li zjistit verzi svého operačního systému, "Klikněte pravým tlačítkem myši" na ikoně počítače zvolte "Vlastnosti"a podívej se"Typ systémusekce ".
2.Dvojklik běžet RogueKiller.
3. Počkejte na dokončení předběžného skenování a poté si přečtěte a „Přijmout“ licenční podmínky.
4. Zmáčkni "Skenovat” pro kontrolu počítače na přítomnost škodlivých hrozeb a škodlivých položek při spuštění.
5. Nakonec, když je úplné skenování dokončeno, stiskněte "Vymazat" tlačítko pro odstranění všech nalezených škodlivých položek.
6. Zavřít “RogueKiller“ a pokračujte dalším krokem.
Krok 3 Odstranit Infekce kryptowally pomocí Malwarebytes Anti-Malware Free.
Stažení a Nainstalujte jeden z nejspolehlivějších BEZPLATNÝCH antimalwarových programů současnosti k vyčištění vašeho počítače od zbývajících škodlivých hrozeb. Pokud chcete být neustále chráněni před malwarovými hrozbami, stávajícími i budoucími, doporučujeme nainstalovat Malwarebytes Anti-Malware Premium:
Ochrana Malwarebytes™
Odstraňuje spyware, adware a malware.
Začněte stahovat zdarma hned teď!
Rychlé pokyny ke stažení a instalaci:
- Po kliknutí na výše uvedený odkaz stiskněte na „Start My Free 14-Trial” pro zahájení stahování.
- Chcete-li nainstalovat ZDARMA verze tohoto úžasného produktu zrušte zaškrtnutí políčka „Povolte bezplatnou zkušební verzi Malwarebytes Anti-Malware Premium“ na poslední instalační obrazovce.
Prohledejte a vyčistěte počítač pomocí Malwarebytes Anti-Malware.
1. běh"Malwarebytes Anti-Malware" a umožnit programu v případě potřeby aktualizovat na nejnovější verzi a zákeřnou databázi.
2. Po dokončení procesu aktualizace stiskněte tlačítko „Skenovat nyní” pro zahájení skenování systému na malware a nežádoucí programy.
3. Nyní počkejte, dokud Malwarebytes Anti-Malware nedokončí skenování počítače na přítomnost malwaru.
4. Po dokončení skenování nejprve stiskněte tlačítko „Karanténa Vše” pro odstranění všech nalezených hrozeb.
5. Počkejte, dokud Malwarebytes Anti-Malware neodstraní všechny infekce z vašeho systému, a poté restartujte počítač (pokud to program vyžaduje), abyste úplně odstranili všechny aktivní hrozby.
6. Po restartu systému, znovu spusťte Malwarebytes' Anti-Malware abyste ověřili, že ve vašem systému nezůstávají žádné další hrozby.
Část 2. Jak obnovit šifrované soubory Cryptowall ze stínových kopií.
Po dezinfekci počítače z Cryptowall virus, pak je čas pokusit se obnovit soubory zpět do stavu před infekcí. Existují dva (2) způsoby, jak to udělat:
Metoda 1: Obnovte šifrované soubory Cryptowall pomocí funkce Windows „Obnovit předchozí verze“.
Metoda 2: Obnovte šifrované soubory Cryptowall pomocí nástroje „Shadow Explorer“.
Pozornost: Tento postup funguje pouze na nejnovějších operačních systémech (Windows 8, 7 a Vista) a pouze v případě Obnovení systému funkce nebyla dříve na infikovaném počítači zakázána.
Metoda 1: Jak obnovit šifrované soubory Cryptowall pomocí funkce „Předchozí verze“.
1. Přejděte do složky nebo souboru, který chcete obnovit do předchozího stavu, a klikněte pravým tlačítkem myši na to.
2. Z rozbalovací nabídky vyberte „Obnovit předchozí verzi”. *
3. Poté vyberte konkrétní verzi složky nebo souboru a poté stiskněte:
- “Otevřeno” pro zobrazení obsahu této složky/souboru.
- “kopírovat” pro zkopírování této složky/souboru na jiné místo ve vašem počítači (např. externí pevný disk).
- “Obnovit” pro obnovení souboru složky do stejného umístění a nahrazení stávajícího.
Metoda 2: Jak obnovit šifrované soubory Cryptowall pomocí nástroje „Shadow Explorer“.
ShadowExplorer, je bezplatná náhrada za Předchozí verze funkce operačního systému Microsoft Windows Vista, 7 a 8 a můžete ji použít k obnovení ztracených nebo poškozených souborů Stínové kopie.
1. Stažení ShadowExplorer utility od tady. (Můžete si buď stáhnout Instalační program ShadowExplorer nebo Přenosná verze programu).
2. Běh ShadowExplorer a poté vyberte datum, kdy chcete obnovit stínovou kopii vaší složky/souborů.
3. Nyní přejděte do složky/souboru, který chcete obnovit do předchozí verze, klikněte pravým tlačítkem myši na něm a vyberte „Vývozní”.
4. Nakonec určete, kam bude stínová kopie vaší složky/souboru exportována/uložena (např. vaše plocha) a stiskněte „OK”.
Hodně štěstí!.
Ahoj, taky jsem chtěla poděkovat! Byl jsem schopen jej odstranit poměrně rychle sám, Malwarebytes je v těchto případech vždy můj. Ale obnova souboru byla obtížnější. Ontrack a podobné programy mě nikam nedostaly (všechny soubory poškozené) a předchozí verze také nefungovaly. Pak jsem našel tohle a zkusil jsem shadow explorer! To fungovalo jako kouzlo!
Naštěstí pro mě byl infikovaný počítač (moje matky) detekován během několika hodin, protože se začal potýkat se sdílenou složkou Dropbox, která vyvolávala zprávy v mém počítači. Teď jen musím najít způsob, jak zabránit programům, aby si nepletly s mými zálohami v Dropboxu a na Disku Google, když se tento typ věcí znovu spouští. Pokud má někdo nějaké nápady, dejte mi prosím vědět!
Tohle je ten nejstrašnější zážitek, který člověk zažije, nepřeju to ani svému nejhoršímu nepříteli, hodně štěstí všem, pokračujte v příspěvcích, třeba někdo najde řešení, doufáme a modlíme se, právě jsem se nakazil sám a hledám řešení, jsem také na win Xp a znovu napíšu, pokud něco najdu užitečný. Děkuji všem za pomoc.
Drazí,
Před několika dny byl můj notebook napaden výše uvedeným virem a nyní se snažím najít řešení. Protože poslední příspěvek výše je datován 15. dubna, zajímalo by mě, jestli někdo narazil na nějaké jiné řešení? Zkoušel někdo postup zmiňovaný Calem (t.j.
vyjměte pevný disk, vložte jej do jiného počítače jako externí disk a spusťte program pro obnovu souborů)? Předem děkuji.
Ahoj, mám stejný virus a nemám na počítači nic důležitého, můžu si nainstalovat nový Windows? Pak je virus definitivně pryč, že? Odpovězte prosím co nejdříve, protože můj internetový operátor mi blokuje připojení kvůli tomu hloupému viru. Děkuji předem :)
Pěkný článek, na jiném webu jsem našel následující řešení pro obnovu souborů a chci vědět, zda jste o něm slyšeli a zda funguje. Díky předem! CAL
——————————————————————————————————–
Co když nemáte žádné stínové kopie ani zálohu souborů? Stále existuje cesta.
Jak jsem řekl, Cryptowall nešifruje vaše původní soubory. Udělá jeho kopii, zašifruje jej a smaže původní soubor.
Jak pravděpodobně víte, smazaný soubor lze obnovit, pokud na vašem disku není nic zapsáno. Dobře, že jste rychle vypnuli stroj brzy po infekci!
Nyní vše, co musíte udělat, je vyjmout pevný disk, vložit jej do jiného počítače jako externí disk nebo druhý disk, pokud nemáte sata dock, spustit program pro obnovu souborů.
Používám Ontrack EasyRecovery nebo R-Studio nebo dokonce DataRescue pro Mac.
Profesionální verze Ontrack EasyRecovery může být také schopna obnovit soubory z pole RAID, pokud je jedna z vašich síťových sdílených položek zašifrována a nemáte zálohy.
Všechny tyto programy budou schopny obnovit původní soubory smazané Cryptowallem.
Jen se ujistěte, že když je spustíte, NEDĚLÁTE to přímo na původním počítači, protože zápisem na váš infikovaný disk by program mohl přepsat vaše smazané soubory.
Pomocí této metody byste měli být schopni obnovit 99 % souborů.
Myslím, že jsem tu věc s kryptowallem zachytil asi před měsícem, poprvé jsem si všiml, že nemohu otevřít soubory, pak jsem si všiml souboru decrypt_instruction.txt na ploše. Nevěděl jsem, co teď vím, a tak jsem začal mazat všechno, co říkalo cokoli, a dešifrovat… nikdy jsem nebyl nasměrován na webovou stránku BITCOIN. Od té doby jsem spustil Malwarebvtes a Spyhunter, nyní se chci pokusit obnovit některé ze svých souborů pomocí tohoto Průzkumníka stínů... nějaké další rady? Dík!!