Kuinka poistaa CryptoWall-virus ja palauttaa tiedostot

SekalaistaDec 19, 2021

CryptoWall on toinen ilkeä lunnasohjelmavirus, joka saastuttaa Windows-käyttöjärjestelmät ja se on päivitetty versio CryptoDefense ransomware virus. Hyvänä "lapsena" se säilyttää alkuperäiset kykynsä, samoin kuin joitain uusia. CryptoWall salaa kaikki tiedostosi ja pitää ne lukittuna, eikä niitä voi käyttää ennen kuin maksat pyydetyn lunnaat. CryptoWall voi salata kaikki tunnetut tiedostotyypit (asiakirjat, PDF, valokuvat, videot ja paljon muuta) kaikilla liitetyillä tallennusasemilla tai sijainneilla. Tämä tarkoittaa, että se voi saastuttaa (salata) kaikki paikallisella tai verkkoasemalla olevat tiedostot, jopa pilvitallennusjärjestelmissä (esim. Google Drive, Dropbox, Box jne.). Cryptowall tekee niin lisäämällä vahvan salauksen (RSA 2048) jokaiseen tiedostoon. Yksinkertaisesti sanottuna et voi enää avata tiedostojasi tai käsitellä niitä.

Jälkeen Cryptowall tartunnan vuoksi virus luo useita tiedostoja jokaiseen tartunnan saaneeseen kansioon nimeltä DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html

, ja DECRYPT_INSTRUCTION.url jotka sisältävät huomautuksia lunnaiden maksamisesta salattujen tiedostojen salauksen purkamiseksi noudattamalla erityistä menettelyä käyttämällä Tor Internet-selain.

The Cryptowall's lunnaat on asetettu 500 dollariin (BitCoineissa), jos maksat sen määräajassa, muuten lunnaita korotetaan 1000 dollariin. Maksun jälkeen hakkerit lähettävät sinulle yksityisen salauksenpurkuavaimesi, joka voi - oletettavasti - purkaa tiedostosi salauksen. Ongelmana on, että vaikka maksaisit lunnaat, et voi olla varma, että tiedostosi palautetaan. Ainoa takuu on, että rahasi menevät jollekin hakkerelle, joka tekee saman asian muille uhreille.

muqrewlq

Täysi CryptoWall infoviesti on seuraava:

Mitä tiedostoillesi tapahtui?
Kaikki tiedostosi suojattiin vahvalla salauksella RSA-2048:lla CryptoWallilla.
Lisätietoja RSA-2048:aa käyttävistä salausavaimista löytyy täältä: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

Mitä tämä tarkoittaa ?
Tämä tarkoittaa, että tiedostojesi rakenne ja tiedot ovat muuttuneet peruuttamattomasti, etkä voi käsitellä niitä, lukea niitä tai nähdä niitä,
se on sama asia kuin niiden menettäminen ikuisesti, mutta meidän avullamme voit palauttaa ne.

Kuinka tämä tapahtui ?
Erityisesti sinua varten palvelimellamme luotiin salainen avainpari RSA-2048 – julkinen ja yksityinen.
Kaikki tiedostosi on salattu julkisella avaimella, joka on siirretty tietokoneellesi Internetin kautta.
Tiedostojesi salauksen purku on mahdollista vain yksityisen avaimen ja salauksen purkuohjelman avulla, joka on salaisella palvelimellamme.

Mitä teen?
Valitettavasti, jos et ryhdy tarvittaviin toimenpiteisiin määritetyn ajan kuluessa, yksityisen avaimen saamisen ehdot muuttuvat.
Jos todella arvostat tietojasi, suosittelemme, että et tuhlaa arvokasta aikaa muiden ratkaisujen etsimiseen, koska niitä ei ole olemassa.

Tarkemmat ohjeet saat henkilökohtaiselta kotisivultasi. Alla on muutamia eri osoitteita, jotka osoittavat sivullesi:
1.https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2.https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3.https://kpa2i8ycr9jxqwilp.onion.to/xxxx

Jos osoitteet eivät jostain syystä ole käytettävissä, toimi seuraavasti:
1. Lataa ja asenna tor-selain: http://www.torproject.org/projects/torbrowser.html.en
2. Suorita selain onnistuneen asennuksen jälkeen ja odota alustusta.
3. Kirjoita osoitepalkkiin: kpa2i8ycr9jxqwilp.onion/xxxx
4. Noudata sivuston ohjeita.

TÄRKEÄÄ TIETOA:
Henkilökohtainen sivusi: kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
Henkilökohtainen sivusi (käyttäen TOR: ta): kpa2i8ycr9jxqwilp.onion/xxxx
Henkilötunnuksesi (jos avaat sivuston (tai TOR: t) suoraan): xxxx

Kuinka estää CryptoWall-infektio.

  • Varotoimet ovat aina turvallisin tapa pitää tietokoneesi vahingoittumattomana.
  • Sinun on oltava erittäin varovainen aina, kun avaat tuntemattoman sähköpostin, varsinkin jos tällainen sähköposti sisältää väärennetyn ilmoituksen (esim. 'UPS Exception Notification') tai .EXE-, .SCR- tai .ZIP-tiedostoliitteitä.
  • Sinun on oltava varovainen huijaussivustoilla, jotka kehottavat sinua asentamaan tarvitsemasi ohjelmiston, äläkä ASENNA tällaisia ​​ohjelmistoja.
  • Paras tapa käsitellä kaikentyyppisiä haittaohjelmatartuntoja on aina puhdas ja mahdollisimman uusi varmuuskopiot tärkeistä tiedostoistasi, jotka on tallennettu toiselle OFFLINE- (irrotettu) tietovälineelle (esim. ulkoiselle USB-kiintolevylle, DVD-ROM-levylle, jne.). Jos teet niin, voit ensin desinfioida tietokoneesi ja palauttaa sitten kaikki tiedostosi takaisin puhtaasta varmuuskopiosta.
    Tiedot: Käytän tähän tehtävään luotettavaa älykästä ja ILMAISTA (henkilökohtaiseen käyttöön) varmuuskopiointiohjelmistoa nimeltä "SyncBackFree”. Yksityiskohtainen artikkeli käytöstä SyncBackFree varmuuskopiointiin tärkeät tiedostot löytyvät tässä.
  • Yritysten verkkoteknikot voivat käyttää levykuvaohjelmistoa (kuten "Acronis True Image”) ottaaksesi kuvavarmuuskopiot työasemien (tai palvelimien) tilasta ajoitettuina aikoina. Näin palautusprosessi on paljon helpompi ja nopeampi, ja se on rajoitettu vain kuvantamisprosessista käytettävissä olevasta tallennustilasta.

Kuinka saada tiedostosi takaisin Cryptowall-tartunnan jälkeen.

Valitettavasti ILMAISTA salauksen purkutyökalua tai menetelmää Cryptowall-salattujen tiedostojen salauksen purkamiseen EI OLE OLEMASSA (kunnes tämä artikkeli kirjoitettiin – kesäkuun 2014 lopussa). Joten ainoat vaihtoehdot tiedostojen palauttamiseksi ovat seuraavat:

  1. Ensimmäinen vaihtoehto on maksaa lunnaat*. Sen jälkeen saat rikollisilta yksityisen salauksenpurkutyökalusi tiedostojesi salauksen purkamiseksi.
    * Merkintä: Jos päätät maksaa lunnaat, sinun on tehtävä se omalla vastuullasi. Rikolliset eivät ole maailman luotettavimpia ihmisiä.
  2. Toinen vaihtoehto on desinfioida tietokoneesi ja sitten palauttaa tiedostot puhtaasta varmuuskopiosta (jos sinulla on sellainen).
  3. Lopuksi, jos sinulla on Windows 8, 7 tai Vista-käyttöjärjestelmä ja "Järjestelmän palauttaminen"-ominaisuutta ei ole poistettu käytöstä järjestelmässäsi (esim. virushyökkäyksen jälkeen), sitten järjestelmän desinfioinnin jälkeen voit yrittää palauttaa tiedostot aiemmissa versioissa "Varjokopiot”. (Katso tämän artikkelin alta, kuinka se tehdään).

Kuinka poistaa Cryptowall-virus ja palauttaa tiedostot Shadow Copiesista.

Osa 1. Kuinka poistaa Cryptowall infektio.

Huomio : Jos haluat poistaaCryptowall tartunnan tietokoneeltasi, sinun on ymmärrettävä, että tiedostosi pysyvät salattuina, vaikka desinfioit tietokoneesi tästä ilkeästä haittaohjelmasta.

VIELÄ KERRAN:ÄLÄ JATKA POISTAMISTA KRYPTOWALL-VIRUS ELLEI:

SINULLA ON PUHDAS VARMUUSKOPIO TIEDOSTOJENSI TALLENNETTUNA ERI PAIKKAAN (kuten irrotettuun kannettavaan kiintolevyasemaan.)

tai

ET TARVITSE SALATUJA TIEDOSTOJA, KOSKA NE OLE NIIN TÄRKEITÄ SINULLE.

tai

HALUAT KOKEILLA PALAUTTAA TIEDOSTOSI VARJOKOPIOT-OMINAISUUDET KÄYTTÄMÄLLÄ (tämän viestin osa 2).

Joten jos olet tehnyt lopullisen päätöksesi, jatka ensin poistamiseen Cryptowall lunnasohjelmatartunta tietokoneestasi ja yritä sitten palauttaa tiedostosi noudattamalla alla olevia ohjeita:

Vaihe 1: Käynnistä tietokoneesi vikasietotilassa verkkoyhteyden kanssa

Tehdä tämä,

1. Sammuta tietokoneesi.

2.Käynnistä tietokoneesi (virta päällä) ja kun tietokoneesi käynnistyy, Lehdistö "F8" -näppäintä ennen kuin Windows-logo tulee näkyviin.

3. Valitse näppäimistön nuolinäppäimillä "Vikasietotila verkkoyhteydellä" -vaihtoehto ja paina "Enter".

vikasietotila-verkkoyhteydellä_peukalo1_thu[1]

Vaihe 2 Pysäytä ja poista Cryptowallin käynnissä olevat prosessit RogueKillerin avulla.

RogueKiller on haittaohjelmien torjuntaohjelma, joka on suunniteltu havaitsemaan, pysäyttämään ja poistamaan yleisiä haittaohjelmia ja joitain kehittyneitä uhkia, kuten rootkit-ohjelmia, roguja, matoja jne.

1.ladata ja Tallentaa "RogueKiller" apuohjelma tietokoneellasi"* (esim. työpöydälläsi)

Ilmoitus*: ladata versio x86 tai X64 käyttöjärjestelmäsi version mukaan. Löydät käyttöjärjestelmäsi version "Oikealla painikkeella"tietokoneesi kuvakkeesta, valitse "Ominaisuudet"ja katso"Järjestelmän tyyppi"-osio.

image_thumb_thumb

2.Tuplaklikkaus juosta RogueKiller.

image_thumb21_thumb

3. Odota, kunnes esiskannaus on valmis ja lue sitten ja "Hyväksyä”lisenssiehdot.

xinzx0zr_thumb2_thumb11_thumb

4. Paina "Skannata” -painiketta tarkistaaksesi tietokoneesi haitallisten uhkien ja haitallisten käynnistysmerkintöjen varalta.

t4ydfgeg_thumb2_thumb1_thumb

5. Lopuksi, kun koko skannaus on valmis, paina "Poistaa" -painiketta poistaaksesi kaikki löydetyt haitalliset kohteet.

image_thumb9_thumb_thumb

6. kiinniRogueKiller" ja jatka seuraavaan vaiheeseen.

Vaihe 3. Poista Cryptowall-infektio Malwarebytes Anti-Malware Free -sovelluksella.

ladata ja Asentaa yksi luotettavimmista ILMAISISTA haittaohjelmien torjuntaohjelmista nykyään puhdistamaan tietokoneesi jäljellä olevilta haitallisilta uhilta. Jos haluat pysyä jatkuvasti suojassa haittaohjelmauhilta, olemassa olevilta ja tulevilta uhilta, suosittelemme Malwarebytes Anti-Malware Premiumin asentamista:

Malwarebytes™ suojaus
Poistaa vakoilu-, mainos- ja haittaohjelmat.
Aloita ilmainen lataus nyt!

Pikalataus- ja asennusohjeet:

  • Kun olet napsauttanut yllä olevaa linkkiä, paina "Aloita ilmainen 14-kokeilu” -vaihtoehto aloittaaksesi latauksen.
malwarebytes-downlaod_thumb1_thumb2_[1]
  • Asentaaksesi ILMAINEN versio tästä hämmästyttävästä tuotteesta, poista valinta "Ota käyttöön ilmainen Malwarebytes Anti-Malware Premium -kokeilu” -vaihtoehto viimeisessä asennusnäytössä.
malwarebytes-anti-malware-free-insta[2]

Tarkista ja puhdista tietokoneesi Malwarebytes Anti-Malwarella.

1. Juosta "Malwarebytes Anti-Malware" ja anna ohjelman päivittää tarvittaessa uusimpaan versioon ja haitalliseen tietokantaan.

update-malwarebytes-anti-malware_thu[1]

2. Kun päivitys on valmis, paina "Skannaa nyt” -painiketta aloittaaksesi järjestelmän tarkistamisen haittaohjelmien ja ei-toivottujen ohjelmien varalta.

start-scan-malwarebytes-anti-malware[2]

3. Odota nyt, kunnes Malwarebytes Anti-Malware tarkistaa tietokoneesi haittaohjelmien varalta.

malwarebytes-scan_thumb1_thumb_thumb

4. Kun skannaus on valmis, paina ensin "Karanteen kaikki” -painiketta poistaaksesi kaikki löydetyt uhat.

kuva

5. Odota, kunnes Malwarebytes Anti-Malware poistaa kaikki infektiot järjestelmästäsi, ja käynnistä sitten tietokoneesi uudelleen (jos sitä vaaditaan ohjelmasta) poistaaksesi kaikki aktiiviset uhat.

wwrq1ctw_thumb1_thumb_thumb_thumb_th[2]

6. Kun järjestelmä käynnistyy uudelleen, suorita Malwarebytes' Anti-Malware uudelleen varmistaaksesi, ettei järjestelmässäsi ole muita uhkia.

Osa 2. Kuinka palauttaa Cryptowall-salatut tiedostot Shadow-kopioista.

Kun olet desinfioinut tietokoneesi Cryptowall virus, on aika yrittää palauttaa tiedostot tartuntaa edeltäneeseen tilaan. On kaksi (2) tapaa tehdä se:

Menetelmä 1: Palauta Cryptowall-salatut tiedostot Windowsin "Palauta aiemmat versiot" -ominaisuuden avulla.

Menetelmä 2: Palauta Cryptowall-salatut tiedostot Shadow Explorer -apuohjelmalla.

Huomio: Tämä toimenpide toimii vain uusimmissa käyttöjärjestelmissä (Windows 8, 7 ja Vista) ja vain, jos Järjestelmän palauttaminen ominaisuutta ei ole aiemmin poistettu käytöstä tartunnan saaneessa tietokoneessa.

Tapa 1: Cryptowall-salattujen tiedostojen palauttaminen "Edelliset versiot" -ominaisuuden avulla.

1. Siirry kansioon tai tiedostoon, jonka haluat palauttaa aiempaan tilaan ja oikealla painikkeella sen päällä.

2. Valitse avattavasta valikosta "Palauta edelliset versiot”. *

korjata aiempia versioita

3. Valitse sitten kansion tai tiedoston tietty versio ja paina sitten:

  • Avata” -painiketta nähdäksesi kansion/tiedoston sisällön.
  • Kopio” kopioidaksesi tämän kansion/tiedoston toiseen paikkaan tietokoneellasi (esimerkiksi ulkoiselle kiintolevyllesi).
  • Palauttaa” palauttaaksesi kansiotiedoston samaan paikkaan ja korvataksesi olemassa olevan.

edellinen kansion versio

Tapa 2: Cryptowall-salattujen tiedostojen palauttaminen "Shadow Explorer" -apuohjelmalla.

ShadowExplorer, on ilmainen korvike Aiemmat versiot Microsoft Windows Vista, 7 ja 8 -käyttöjärjestelmän ominaisuus, ja voit käyttää sitä kadonneiden tai vaurioituneiden tiedostojen palauttamiseen Varjokopiot.

1. ladata ShadowExplorer hyödyllisyys alkaen tässä. (Voit joko ladata ShadowExplorer asennusohjelma tai Kannettava versio ohjelmasta).

2. Juosta ShadowExplorer apuohjelma ja valitse sitten päivämäärä, jolloin haluat palauttaa kansiosi/tiedostojesi varjokopion.

ShadowExplorer

3. Siirry nyt kansioon/tiedostoon, jonka haluat palauttaa aiempaan versioon, oikealla painikkeella siihen ja valitse "Viedä”.

ShadowExplorer-vienti[5]

4. Määritä lopuksi, minne kansiosi/tiedostosi varjokopio viedään/tallennetaan (esim. työpöydällesi) ja paina "OK”.

Shadow Explorerin vientipaikka

Onnea!.

Hei, halusin myös kiittää! Pystyin poistamaan sen melko nopeasti itse, Malwarebytes on aina minun suosikkini näissä tapauksissa. Mutta tiedostojen palautus oli vaikeampaa. Ontrack ja sellaiset ohjelmat eivät saaneet minua mihinkään (kaikki tiedostot vioittuneet), eivätkä aiemmat versiot myöskään toimineet. Sitten löysin tämän ja kokeilin Shadow Exploreria! Se toimi kuin hurmaa!

Onneksi tartunnan saanut tietokone (äitini) havaittiin muutamassa tunnissa, koska se alkoi sotkea jaettua Dropbox-kansiota, mikä sai viestejä tietokoneelleni. Nyt minun on vain löydettävä tapa estää tämänkaltaisia ​​ohjelmia sotkemasta varmuuskopioitani Dropboxissa ja Google Drivessa, nyt kun tämän tyyppinen asia käynnistyy uudelleen. Jos jollain on ideoita niin kertokaa ihmeessä!

Tämä on kauhein kokemus, jonka voi kestää, en toivo tätä pahimmalle viholliselleni, onnea kaikille, jatkakaa postauksia, ehkä joku löytää ratkaisu, toivomme ja rukoilemme, sain juuri tartunnan ja etsin ratkaisua, olen myös win Xp: ssä ja postaan ​​uudelleen, jos löydän jotain hyödyllinen. Kiitos kaikille auttamisesta.

Kaikki rakkaat,

Muutama päivä sitten edellä mainittu virus hyökkäsi kannettavaan tietokoneeseeni ja yritän nyt löytää ratkaisua. Koska viimeinen yllä oleva viesti on päivätty 15. huhtikuuta, mietin, onko kukaan löytänyt muuta ratkaisua? Onko kukaan kokeillut Calin mainitsemaa toimenpidettä (ts.
ota kiintolevy ulos, aseta se toiseen koneeseen ulkoiseksi asemaksi ja suorita tiedostojen palautusohjelma)? Paljon kiitoksia etukäteen.

Hei, minulla on sama virus, eikä minulla ole mitään tärkeää tietokoneellani, voinko vain asentaa uuden Windowsin? Virus on varmasti poissa, eikö? Vastaa mahdollisimman pian, koska internet-operaattorini estää yhteydenni tuon typerän viruksen takia. Kiitos jo etukäteen :)

Mukava artikkeli, löysin seuraavan tiedostojen palautusratkaisun toiselta verkkosivustolta ja haluan tietää, oletko kuullut siitä ja toimiiko se. Kiitos etukäteen! Cal

——————————————————————————————————–
Entä jos sinulla ei ole varjokopioita tai varmuuskopioita tiedostoistasi? Vielä on keino.
Kuten sanoin, Cryptowall ei salaa alkuperäisiä tiedostojasi. Se tekee siitä kopion, salaa sen ja poistaa alkuperäisen tiedoston.

Kuten luultavasti tiedät, poistettu tiedosto voidaan palauttaa, jos sen päälle ei ole kirjoitettu mitään levyllesi. Hyvä ajatella, että sammutat koneen nopeasti pian tartunnan jälkeen!

Nyt sinun tarvitsee vain ottaa kiintolevysi ulos, laittaa se toiseen koneeseen ulkoiseksi asemaksi tai toiseen asemaan, jos sinulla ei ole sata-telakkaa, suorittaa tiedostojen palautusohjelma.

Käytän Ontrack EasyRecoveryä tai R-Studioa tai jopa DataRescue for Macia.
Ontrack EasyRecoveryn pro-versio saattaa myös pystyä palauttamaan tiedostoja RAID-ryhmästä, jos jokin verkkojakoistasi on salattu eikä sinulla ole varmuuskopioita.

Kaikki nämä ohjelmat voivat palauttaa Cryptowallin poistamat alkuperäiset tiedostot.

Varmista vain, että kun suoritat niitä, EI tehdä sitä suoraan alkuperäisellä koneella, koska kirjoittamalla tartunnan saaneelle levylle, ohjelma voi korvata poistetut tiedostosi.

Sinun pitäisi pystyä palauttamaan 99 % tiedostoistasi tällä menetelmällä.

Luulen, että otin salausmuurin käyttöön noin kuukausi sitten. Huomasin ensin, etten voinut avata tiedostoja, ja sitten huomasin työpöydällä olevan decrypt_instruction.txt-tiedoston. Koska en tiennyt mitä tiedän nyt, aloin vain poistaa kaiken, mikä sanoi jotain adout decrypt… Minua ei koskaan ohjattu BITCOIN-verkkosivukauppaan. Olen sittemmin ajanut Malwarebvtesia ja Spyhunteria, nyt haluan yrittää palauttaa joitain tiedostojani tällä Shadow Explorerilla… onko muita neuvoja? Kiitos!!