Kako ukloniti CryptoWall virus i vratiti svoje datoteke

MiscelaneaDec 19, 2021

CryptoWall je još jedan gadan ransomware virus koji inficira operacijske sustave Windows i to je ažurirana verzija Kriptoobrana ransomware virus. Kao dobro ‘dijete’, zadržava svoje izvorne sposobnosti, ali i neke nove. CryptoWall šifrira sve vaše datoteke i drži ih zaključanima i ne postoji način da ih koristite dok ne platite traženu otkupninu. CryptoWall može šifrirati sve poznate vrste datoteka (dokumente, PDF, fotografije, videozapise i još mnogo toga) na svim povezanim pogonima ili lokacijama za pohranu. To znači da može zaraziti (šifrirati) sve datoteke na lokalnim ili mrežnim diskovima, čak i u sustavima za pohranu u oblaku (npr. Google Drive, Dropbox, Box, itd.). Cryptowall to čini dodavanjem jake enkripcije (RSA 2048) na svaku datoteku. Jednostavnim riječima, više ne možete otvarati – niti raditi s – svoje datoteke.

Nakon Cryptowall infekcije, virus stvara nekoliko datoteka u svakoj zaraženoj mapi pod nazivom DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html, i DECRYPT_INSTRUCTION.url

koji sadrže bilješke o tome kako platiti otkupninu kako bi se šifrirane datoteke dešifrirali slijedeći određeni postupak pomoću Internet preglednik Tor.

The Cryptowall'Otkupnina je postavljena na 500$ (u BitCoinima), ako je platite u roku, inače će otkupnina biti povećana na 1000$. Nakon plaćanja, hakeri će vam poslati vaš privatni ključ za dešifriranje koji može – navodno – dešifrirati vaše datoteke. Problem je u tome što čak i ako platite otkupninu, ne možete biti sigurni da će vaše datoteke biti vraćene. Jedina garancija je da će vaš novac otići nekom hakeru koji će nastaviti raditi istu stvar drugim žrtvama.

muqrewlq

Pun CryptoWall informativna poruka je sljedeća:

Što se dogodilo s vašim datotekama?
Sve vaše datoteke bile su zaštićene snažnom enkripcijom s RSA-2048 pomoću CryptoWall-a.
Više informacija o ključevima za šifriranje pomoću RSA-2048 možete pronaći ovdje: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

Što to znači ?
To znači da su struktura i podaci unutar vaših datoteka nepovratno promijenjeni, nećete moći raditi s njima, čitati ih ili vidjeti,
to je isto kao da ih zauvijek izgubite, ali uz našu pomoć možete ih vratiti.

Kako se to dogodilo ?
Posebno za vas, na našem poslužitelju generiran je par tajnih ključeva RSA-2048 – javni i privatni.
Sve vaše datoteke bile su šifrirane javnim ključem koji je prebačen na vaše računalo putem interneta.
Dešifriranje vaših datoteka moguće je samo uz pomoć privatnog ključa i programa za dešifriranje koji se nalazi na našem tajnom poslužitelju.

Što da radim ?
Jao, ako ne poduzmete potrebne mjere za navedeno vrijeme tada će se promijeniti uvjeti za dobivanje privatnog ključa.
Ako zaista cijenite svoje podatke, predlažemo da ne gubite dragocjeno vrijeme tražeći druga rješenja jer ona ne postoje.

Za detaljnije upute posjetite svoju osobnu početnu stranicu, postoji nekoliko različitih adresa koje upućuju na vašu stranicu u nastavku:
1.https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2.https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3.https://kpa2i8ycr9jxqwilp.onion.to/xxxx

Ako iz nekog razloga adrese nisu dostupne, slijedite ove korake:
1. Preuzmite i instalirajte tor-preglednik: http://www.torproject.org/projects/torbrowser.html.en
2. Nakon uspješne instalacije, pokrenite preglednik i pričekajte inicijalizaciju.
3.Upišite u adresnu traku: kpa2i8ycr9jxqwilp.onion/xxxx
4.Slijedite upute na stranici.

VAŽNA INFORMACIJA:
Vaša osobna stranica: kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
Vaša osobna stranica (koristeći TOR): kpa2i8ycr9jxqwilp.onion/xxxx
Vaš osobni identifikacijski broj (ako izravno otvorite stranicu (ili TOR): xxxx

Kako spriječiti infekciju CryptoWall-om.

  • Mjera opreza je uvijek najsigurniji način da vaše računalo ostane neozlijeđeno.
  • Morate biti vrlo oprezni kad god otvorite nepoznatu e-poštu, posebno ako takva e-pošta sadrži lažnu obavijest (npr. 'UPS Exception Notification') ili privitke datoteke .EXE, .SCR ili .ZIP.
  • Morate biti oprezni na stranicama za prijevare koje od vas traže da instalirate softver koji vam je navodno potreban i NE INSTALIRATE takav softver.
  • Najbolji način da se nosite sa svim vrstama zaraza zlonamjernim softverom uvijek je čist i što je noviji sigurnosna kopija vaših važnih datoteka pohranjenih na drugom OFFLINE (isključenom) mediju (npr. vanjski USB HDD, DVD ROM, itd.). Ako to učinite, prvo možete dezinficirati svoje računalo, a zatim vratiti sve svoje datoteke iz čiste sigurnosne kopije.
    Info: Za ovaj zadatak koristim pouzdan pametni i BESPLATNI (za osobnu upotrebu) sigurnosno kopiranje softvera pod nazivom “SyncBackFree”. Detaljan članak o tome kako koristiti SyncBackFree možete pronaći sigurnosnu kopiju vaših važnih datoteka ovdje.
  • Korporativni mrežni tehničari mogu koristiti softver za snimanje diska (npr.Acronis True Image”) za izradu sigurnosnih kopija slike stanja radnih stanica (ili poslužitelja) u zakazano vrijeme. Na taj način proces vraćanja je mnogo lakši i brži i ograničen je samo na pohranu koju imate na raspolaganju u procesu snimanja slike.

Kako vratiti svoje datoteke nakon infekcije Cryptowall-om.

Nažalost, BESPLATNI alat ili metoda za dešifriranje šifriranih datoteka Cryptowall NE POSTOJI (do dana pisanja ovog članka – krajem lipnja 2014.). Dakle, jedine opcije koje imate da vratite svoje datoteke su sljedeće:

  1. Prva opcija je da platite otkupninu*. Nakon toga, od kriminalaca ćete dobiti svoj privatni alat za dešifriranje za dešifriranje vaših datoteka.
    * Bilješka: Ako odlučite platiti otkupninu, to morate učiniti na vlastitu odgovornost. Kriminalci nisu najpouzdaniji ljudi na svijetu.
  2. Druga opcija je dezinficirati svoje računalo, a zatim vratiti svoje datoteke iz čiste sigurnosne kopije (u slučaju da je imate).
  3. Konačno, ako imate Windows 8, 7 ili Vista OS i "Vraćanje sustava” značajka nije onemogućena na vašem sustavu (npr. nakon napada virusom), a zatim nakon dezinfekcije sustava možete pokušati vratiti svoje datoteke u prethodne verzije iz “Kopije u sjeni”. (Pogledajte dolje u ovom članku o tome kako to učiniti).

Kako ukloniti Cryptowall virus i vratiti svoje datoteke iz Shadow Copies.

1. dio. Kako ukloniti Cryptowall infekcija.

Pažnja : Ako želite uklonitiCryptowall infekcije s vašeg računala, morate shvatiti da će vaše datoteke ostati šifrirane, čak i ako dezinficirate svoje računalo od ovog gadnog zlonamjernog softvera.

JOŠ JEDNOM:NEMOJTE NASTAVITI UKLANJATI VIRUS CRYPTOWALL OSIM AKO:

IMATE ČISTU SIGURNOSNU KOPIJU SVOJIH DATOTEKA POHRANJENU NA DRUGOM MJESTU (poput isključenog prijenosnog tvrdog diska).

ili

NE TREBAJU VAM KRIPIRANE DATOTEKE JER VAM NISU TAKO VAŽNE.

ili

ŽELITE DA POKUŠATE VRATI VAŠE DATOTEKE POMOĆU ZNAČAJKE SJENSKE KOPIJE (2. dio ovog posta).

Dakle, ako ste donijeli konačnu odluku, nastavite s uklanjanjem Cryptowall zaraza ransomwareom s vašeg računala, a zatim pokušajte vratiti svoje datoteke slijedeći postupak u nastavku:

Korak 1: Pokrenite računalo u "Safe Mode with Networking"

Uraditi ovo,

1. Isključite računalo.

2.Pokrenite računalo (Uključeno) i, dok se vaše računalo pokreće, pritisnite "F8" prije nego se pojavi Windows logotip.

3. Pomoću strelica na tipkovnici odaberite "Siguran način rada s umrežavanjem" opciju i pritisnite "Enter".

siguran-mode-with-networking_thumb1_thu[1]

Korak 2. Zaustavite i izbrišite pokrenute procese Cryptowall pomoću RogueKillera.

RogueKiller je program protiv zlonamjernog softvera dizajniran za otkrivanje, zaustavljanje i uklanjanje generičkih zlonamjernih programa i nekih naprednih prijetnji kao što su rootkiti, lopovi, crvi itd.

1.preuzimanje datoteka i uštedjeti "RogueKiller" uslužni program na vašem računalu"* (npr. vaše stolno računalo)

Obavijest*: preuzimanje datoteka verzija x86 ili X64 prema verziji vašeg operativnog sustava. Da biste pronašli verziju svog operativnog sustava, "Desni klik" na ikoni vašeg računala odaberite "Svojstva"i pogledaj"Vrsta sustava" odjeljak.

image_thumb_thumb

2.Dvostruki klik trčati RogueKiller.

image_thumb21_thumb

3. Pričekajte dok se prethodno skeniranje ne završi, a zatim pročitajte i “Prihvatiti” uvjeti licence.

xinzx0zr_thumb2_thumb11_thumb

4. Pritisni "Skenirati” za skeniranje vašeg računala na zlonamjerne prijetnje i zlonamjerne unose pri pokretanju.

t4ydfgeg_thumb2_thumb1_thumb

5. Na kraju, kada je potpuno skeniranje završeno, pritisnite "Izbrisati" gumb za uklanjanje svih pronađenih zlonamjernih stavki.

image_thumb9_thumb_thumb

6. ZatvoritiRogueKiller” i nastavite na sljedeći korak.

Korak 3. Ukloniti Infekcija Cryptowall-om s Malwarebytes Anti-Malware Free.

preuzimanje datoteka i instalirati jedan od najpouzdanijih BESPLATNIH anti malware programa danas za čišćenje vašeg računala od preostalih zlonamjernih prijetnji. Ako želite biti stalno zaštićeni od prijetnji zlonamjernog softvera, postojećih i budućih, preporučujemo da instalirate Malwarebytes Anti-Malware Premium:

Malwarebytes™ zaštita
Uklanja špijunski, adware i zlonamjerni softver.
Započnite besplatno preuzimanje odmah!

Upute za brzo preuzimanje i instalaciju:

  • Nakon što kliknete gornju vezu, pritisnite na "Započnite moju besplatnu probnu verziju od 14” za početak preuzimanja.
malwarebytes-downlaod_thumb1_thumb2_[1]
  • Da biste instalirali BESPLATNA verzija ovog nevjerojatnog proizvoda, poništite odabir "Omogućite besplatnu probnu verziju Malwarebytes Anti-Malware Premium” opcija na zadnjem instalacijskom zaslonu.
malwarebytes-anti-malware-free-insta[2]

Skenirajte i očistite svoje računalo pomoću Malwarebytes Anti-Malware.

1. Trčanje "Malwarebytes Anti-Malware" i dopustite programu da se ažurira na najnoviju verziju i zlonamjernu bazu podataka ako je potrebno.

update-malwarebytes-anti-malware_thu[1]

2. Kada je proces ažuriranja dovršen, pritisnite "Skeniraj sada” za početak skeniranja vašeg sustava u potrazi za zlonamjernim softverom i neželjenim programima.

start-scan-malwarebytes-anti-malware[2]

3. Sada pričekajte dok Malwarebytes Anti-Malware ne završi skeniranje vašeg računala u potrazi za zlonamjernim softverom.

malwarebytes-scan_thumb1_thumb_thumb

4. Kada je skeniranje završeno, najprije pritisnite "Sve u karanteni” za uklanjanje svih pronađenih prijetnji.

slika

5. Pričekajte dok Malwarebytes Anti-Malware ne ukloni sve infekcije s vašeg sustava, a zatim ponovno pokrenite računalo (ako je potrebno iz programa) kako biste u potpunosti uklonili sve aktivne prijetnje.

wwrq1ctw_thumb1_thumb_thumb_thumb_th[2]

6. Nakon ponovnog pokretanja sustava, ponovno pokrenite Malwarebytes' Anti-Malware kako biste provjerili da nema drugih prijetnji u vašem sustavu.

2. dio. Kako vratiti šifrirane datoteke Cryptowall-a iz Shadow kopija.

Nakon što ste dezinficirali svoje računalo od Cryptowall virus, onda je vrijeme da pokušate vratiti svoje datoteke u stanje prije infekcije. Za to postoje dvije (2) metode:

Metoda 1: Vratite datoteke šifrirane Cryptowall-om pomoću značajke Windows "Vrati prethodne verzije".

Metoda 2: Vratite šifrirane datoteke Cryptowall pomoću uslužnog programa 'Shadow Explorer'.

Pažnja: Ovaj postupak radi samo na najnovijim operativnim sustavima (Windows 8, 7 i Vista) i samo ako je Vraćanje sustava značajka nije prethodno bila onemogućena na zaraženom računalu.

Metoda 1: Kako vratiti šifrirane datoteke Cryptowall pomoću značajke "Prethodne verzije".

1. Dođite do mape ili datoteke koju želite vratiti u prethodno stanje i desni klik na tome.

2. Na padajućem izborniku odaberite "Vrati prethodne verzije”. *

vrati prethodne verzije

3. Zatim odaberite određenu verziju mape ili datoteke, a zatim pritisnite:

  • Otvorena” za prikaz sadržaja te mape/datoteke.
  • Kopirati” za kopiranje ove mape/datoteke na drugo mjesto na vašem računalu (npr. vaš vanjski tvrdi disk).
  • Vratiti” za vraćanje datoteke mape na isto mjesto i zamjenu postojeće.

prethodna verzija mape

Metoda 2: Kako vratiti šifrirane datoteke Cryptowall pomoću uslužnog programa "Shadow Explorer".

ShadowExplorer, besplatna je zamjena za Prethodne verzije značajka operacijskog sustava Microsoft Windows Vista, 7 i 8 i možete je koristiti za vraćanje izgubljenih ili oštećenih datoteka iz Kopije u sjeni.

1. preuzimanje datoteka ShadowExplorer korisnost iz ovdje. (Možete preuzeti ili Instalacijski program ShadowExplorer ili Prijenosna verzija programa).

2. Trčanje ShadowExplorer uslužni program, a zatim odaberite datum kada želite vratiti zasjenjenu kopiju svoje mape/datoteke.

ShadowExplorer

3. Sada idite do mape/datoteke koju želite vratiti na prethodnu verziju, desni klik na njemu i odaberite "Izvoz”.

Izvoz ShadowExplorera[5]

4. Na kraju odredite gdje će sjena kopija vaše mape/datoteke biti izvezena/spremljena (npr. vaša radna površina) i pritisnite "u redu”.

mjesto za izvoz shadow explorera

Sretno!.

Bok, i ja sam ti htio reći hvala! Uspio sam ga prilično brzo sam ukloniti, u tim slučajevima uvijek koristim Malwarebytes. Ali oporavak datoteke bio je teži. Ontrack i takvi programi nisu me doveli nikamo (sve datoteke su oštećene), a ni prethodne verzije nisu radile. Onda sam pronašao ovo i isprobao shadow explorer! To je djelovalo kao šarm!

Na moju sreću, zaraženo računalo (moje majke) otkriveno je u roku od nekoliko sati jer se počelo petljati sa zajedničkom mapom Dropboxa, što je izazvalo poruke na mom računalu. Sada samo trebam pronaći način da spriječim ovakve programe da se petljaju s mojim sigurnosnim kopijama u Dropboxu i Google Driveu, sada kada se ova vrsta stvari ponovno pokreće. Ako netko ima kakvu ideju neka mi se javi!

Ovo je najstrašnije iskustvo koje će neko doživjeti, ne želim ovo ni najgorem neprijatelju, sretno svima, nastavite s objavama možda netko pronađe rješenje nadamo se i molimo, upravo sam se zarazio i tražim rješenje, i ja sam na win Xp i ponovno ću objaviti ako nešto nađem koristan. Hvala svima na pomoći.

Dragi svi,

Prije nekoliko dana moj laptop je napao gore navedeni virus i sada pokušavam pronaći rješenje. Budući da je zadnji post iznad datiran 15. travnja, zanima me je li netko naišao na neko drugo rješenje? Je li netko probao postupak koji je spomenuo Cal (tj.
izvadite tvrdi disk, stavite ga u drugi stroj kao vanjski disk i pokrenite program za oporavak datoteka)? Unaprijed hvala.

Bok, imam isti virus, i nemam ništa važno na svom računalu, mogu li jednostavno instalirati novi Windows? Onda je virus sigurno nestao, zar ne? Molim Vas da odgovorite što prije, jer mi je internet operater blokirao vezu zbog tog glupog virusa. Hvala unaprijed :)

Dobar članak, pronašao sam sljedeće rješenje za oporavak datoteka na drugoj web stranici i želim znati jeste li čuli za njega i radi li. Hvala unaprijed! Cal

——————————————————————————————————–
Što ako nemate sjene kopije i nemate sigurnosnu kopiju svojih datoteka? Još uvijek postoji način.
Kao što sam rekao, Cryptowall ne šifrira vaše izvorne datoteke. Napravit će njegovu kopiju, šifrirati je i izbrisati izvornu datoteku.

Kao što vjerojatno znate, izbrisana datoteka se može oporaviti ako ništa nije zapisano na vašem disku. Dobro mislite da brzo isključite stroj ubrzo nakon infekcije!

Sada sve što trebate učiniti je izvaditi tvrdi disk, staviti ga u drugi stroj kao vanjski disk ili drugi disk ako nemate sata dock, pokrenuti program za oporavak datoteka.

Koristim Ontrack EasyRecovery ili R-Studio, ili čak DataRescue za Mac.
Pro verzija Ontrack EasyRecovery također bi mogla oporaviti datoteke iz RAID polja ako je jedan od vaših mrežnih dijeljenja šifriran i nemate sigurnosne kopije.

Svi ovi programi moći će oporaviti izvorne datoteke koje je Cryptowall izbrisao.

Samo pazite da kada ih pokrenete NE to radite izravno na izvornom stroju jer bi upisivanjem na vaš zaraženi disk program mogao prebrisati vaše izbrisane datoteke.

Trebali biste moći oporaviti 99% svojih datoteka pomoću ove metode.

Mislim da sam pokupio cryptowall prije otprilike mjesec dana, prvo sam primijetio da ne mogu otvoriti datoteke, a zatim sam primijetio decrypt_instruction.txt na radnoj površini. Ne znajući što sada znam, upravo sam počeo brisati sve što je pisalo bilo što o dešifriranju... Nikada nisam bio upućen na BITCOIN web stranicu. Od tada sam pokrenuo Malwarebvtes i Spyhunter, sada želim pokušati oporaviti neke od svojih datoteka s ovim Shadow Explorerom... ima li još savjeta?? Hvala!!