CryptoWall egy másik csúnya ransomware vírus, amely megfertőzi a Windows operációs rendszereket, és ez a frissített verziója CryptoDefense ransomware vírus. Jó „gyerekként” megőrzi eredeti képességeit, és néhány újat is. CryptoWall titkosítja az összes fájlt, és zárolva tartja őket, és nincs mód a használatára, amíg ki nem fizeti a váltságdíjat. CryptoWall képes titkosítani az összes ismert fájltípust (dokumentumok, PDF, fényképek, videók és egyebek) az összes csatlakoztatott tárolómeghajtón vagy helyen. Ez azt jelenti, hogy képes megfertőzni (titkosítani) a helyi vagy hálózati meghajtó(k) összes fájlját, még a felhőalapú tárolórendszerekben is (pl. Google Drive, Dropbox, Box stb.). Cryptowall ezt úgy teszi, hogy erős titkosítást (RSA 2048) ad hozzá minden fájlhoz. Egyszerűen fogalmazva, többé nem tudja megnyitni – vagy dolgozni – a fájljait.
Utána Cryptowall fertőzés esetén a vírus több fájlt hoz létre minden D nevű fertőzött mappábanECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html, és
DECRYPT_INSTRUCTION.url amelyek tartalmazzák a váltságdíj kifizetésének módját a titkosított fájlok visszafejtése érdekében, egy speciális eljárást követve a Tor internetböngésző.A CryptowallA váltságdíj 500 dollárra van állítva (BitCoinban), ha a határidőn belül fizeti ki, ellenkező esetben a váltságdíj 1000 dollárra emelkedik. Fizetés után a hackerek elküldik Önnek privát visszafejtési kulcsát, amely – állítólag – vissza tudja fejteni a fájljait. A probléma az, hogy még ha ki is fizeti a váltságdíjat, nem lehet biztos abban, hogy a fájljai helyreállnak. Az egyetlen garancia az, hogy a pénzed egy hackerhez kerül, aki továbbra is ugyanazt fogja tenni más áldozatokkal.
A teljes CryptoWall az információs üzenet a következő:
“
Mi történt a fájljaiddal?
Minden fájlját erős titkosítás védte az RSA-2048 segítségével a CryptoWall segítségével.
További információ az RSA-2048 titkosítási kulcsokról itt található: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Mit is jelent ez ?
Ez azt jelenti, hogy a fájlok szerkezete és adatai visszavonhatatlanul megváltoztak, nem fog tudni dolgozni, elolvasni vagy megnézni őket,
ez ugyanaz, mintha örökre elveszítené őket, de a mi segítségünkkel helyreállíthatja őket.
Hogy történt ez ?
Kifejezetten az Ön számára, szerverünkön létrejött az RSA-2048 titkos kulcspár – nyilvános és privát.
Minden fájlja titkosítva lett a nyilvános kulccsal, amelyet az interneten keresztül továbbítottak a számítógépére.
Fájlainak visszafejtése csak a titkos szerverünkön található privát kulcs és dekódoló program segítségével lehetséges.
Mit tegyek ?
Sajnos, ha a megadott ideig nem teszi meg a szükséges intézkedéseket, akkor a privát kulcs megszerzésének feltételei megváltoznak.
Ha valóban értékesnek tartja adatait, akkor azt javasoljuk, hogy ne vesztegessen értékes időt más megoldások keresésére, mert ezek nem léteznek.
Részletesebb útmutatásért, kérjük, keresse fel személyes kezdőlapját, az alábbiakban néhány különböző cím mutat az Ön oldalára:
1.https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2.https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3.https://kpa2i8ycr9jxqwilp.onion.to/xxxx
Ha valamilyen okból a címek nem érhetők el, kövesse az alábbi lépéseket:
1. Töltse le és telepítse a tor-böngészőt: http://www.torproject.org/projects/torbrowser.html.en
2.A sikeres telepítés után futtassa a böngészőt, és várja meg az inicializálást.
3. Írja be a címsorba: kpa2i8ycr9jxqwilp.onion/xxxx
4. Kövesse a webhelyen található utasításokat.
FONTOS INFORMÁCIÓ:
Az Ön személyes oldala: kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
Az Ön személyes oldala (TOR-t használva): kpa2i8ycr9jxqwilp.onion/xxxx
Az Ön személyi azonosító száma (ha közvetlenül nyitja meg az oldalt (vagy TOR-t): xxxx
“
Hogyan lehet megelőzni a CryptoWall fertőzést.
- Mindig az elővigyázatosság a legbiztonságosabb módja annak, hogy számítógépét sértetlenül tartsa.
- Nagyon óvatosnak kell lennie, amikor ismeretlen e-mailt nyit meg, különösen, ha az ilyen e-mail hamis értesítést (például „UPS kivételértesítést”) vagy .EXE, .SCR vagy .ZIP fájlmellékleteket tartalmaz.
- Óvatosnak kell lennie az olyan átverési oldalakon, amelyek olyan szoftver telepítését kérik, amelyre állítólag szüksége van, és NE TELEPÍTSE az ilyen szoftvereket.
- Az összes típusú rosszindulatú program fertőzésének leküzdésének legjobb módja, ha mindig tiszta és a lehető legfrissebb ellenőrzést végez más OFFLINE (kikapcsolt) adathordozón (pl. külső USB HDD, DVD ROM, DVD ROM, stb.) tárolt fontos fájljainak biztonsági mentése stb.). Ha ezt megteszi, először fertőtlenítheti a számítógépet, majd visszaállíthatja az összes fájlt a tiszta biztonsági másolatból.
Információ: Ehhez a feladathoz egy megbízható intelligens és INGYENES (személyes használatra szánt) biztonsági mentési szoftvert használok, a „SyncBackFree”. Részletes cikk a használatról SyncBackFree a fontos fájlok biztonsági mentéséhez itt. - A vállalati hálózati technikusok használhatnak lemezképkezelő szoftvert (példáulAcronis True Image”) a munkaállomások (vagy szerverek) állapotáról ütemezett időpontokban képmásolat készítéséhez. Ezzel a visszaállítási folyamat sokkal egyszerűbb és gyorsabb, és csak a képalkotási folyamatból rendelkezésre álló tárhely korlátozott.
Hogyan szerezheti vissza fájljait Cryptowall fertőzés után.
Sajnos NEM LÉTEZ INGYENES visszafejtő eszköz vagy módszer a Cryptowall titkosított fájlok visszafejtésére (a cikk megírásáig – 2014. június végén). Tehát az egyetlen lehetőség, hogy visszaszerezze a fájlokat, a következők:
- Az első lehetőség a váltságdíj megfizetése*. Ezt követően megkapja a bűnözőktől a privát visszafejtő eszközét a fájlok visszafejtéséhez.
* Jegyzet: Ha úgy dönt, hogy kifizeti a váltságdíjat, azt saját felelősségére kell megtennie. A bűnözők nem a legmegbízhatóbb emberek a világon. - A második lehetőség a számítógép fertőtlenítése, majd a fájlok visszaállítása tiszta biztonsági másolatból (ha van ilyen).
- Végül, ha Windows 8, 7 vagy Vista operációs rendszerrel rendelkezik, és a „Rendszer-visszaállítás” funkció nincs letiltva a rendszerén (pl. vírustámadás után), majd a rendszer fertőtlenítése után megpróbálhatja visszaállítani a korábbi verziójú fájlokat a „Árnyékmásolatok”. (Erről a cikkben olvashat lentebb).
Hogyan lehet eltávolítani a Cryptowall vírust és visszaállítani a fájlokat a Shadow Copies alkalmazásból.
1. rész. Hogyan kell eltávolítani Cryptowall fertőzés.
Figyelem: Ha el akarja távolítaniCryptowall fertőzést a számítógépéről, akkor észre kell vennie, hogy a fájlok titkosítva maradnak, még akkor is, ha fertőtleníti számítógépét ettől a csúnya rosszindulatú programtól.
MÉG EGYSZER:NE FOLYTASD AZ ELTÁVOLÍTÁST CRIPTOWALL VÍRUS HACSAK:
VAN EGY MÁS HELYEN TÁROLT FÁJLOI TISZTA BIZTONSÁGI MÁSOLÁSA (például egy kihúzott hordozható merevlemez-meghajtón).
vagy
NINCS SZÜKSÉGED A TITKOSÍTOTT FÁJLOKRA, MERT NEM OLYAN FONTOSAK SZÁMÁRA.
vagy
SZERETNÉL KIPRÓBÁLNI A FÁJLJAI VISSZAÁLLÍTÁSÁVAL AZ ÁRNYÉKMÁSOLAT FUNKCIÓ HASZNÁLATÁVAL (a bejegyzés 2. része).
Tehát, ha meghozta végső döntését, folytassa az eltávolítással Cryptowall ransomware fertőzést a számítógépéről, majd próbálja meg visszaállítani a fájlokat az alábbi eljárás szerint:
1. lépés: Indítsa el a számítógépet „Csökkentett módban hálózattal”
Ezt csináld meg,
1. Kapcsolja ki a számítógépet.
2.Indítsa el a számítógépet (Bekapcsolás), és amikor a számítógép elindul, nyomja meg a "F8" gombot, mielőtt a Windows logó megjelenik.
3. A billentyűzet nyilai segítségével válassza ki a "Csökkentett mód hálózattal" opciót, és nyomja meg az "Enter" gombot.
2. lépés. Állítsa le és törölje a Cryptowall futó folyamatait a RogueKiller segítségével.
RogueKiller egy rosszindulatú program elleni program, amelyet általános rosszindulatú programok és néhány fejlett fenyegetés észlelésére, leállítására és eltávolítására terveztek, mint például a rootkitek, csalók, férgek stb.
1.Letöltés és megment "RogueKiller" segédprogram a számítógépen"* (pl. az asztalon)
Értesítés*: Letöltés x86 verzió vagy X64 az operációs rendszer verziója szerint. Az operációs rendszer verziójának megkereséséhez "Jobb klikk" a számítógép ikonján válassza a "Tulajdonságok"és nézd meg"Rendszer típusa" szakaszban.
2.Dupla kattintás futni RogueKiller.
3. Várja meg, amíg az elővizsgálat befejeződik, majd olvassa el, ésElfogad” a licenc feltételeit.
4. Megnyomni a "Letapogatás” gombot a rosszindulatú fenyegetések és rosszindulatú indítási bejegyzések kereséséhez.
5. Végül, amikor a teljes szkennelés befejeződött, nyomja meg a gombot "Töröl" gombot az összes talált rosszindulatú elem eltávolításához.
6. Bezárás “RogueKiller” és folytassa a következő lépéssel.
3. lépés Távolítsa el Cryptowall fertőzés a Malwarebytes Anti-Malware Free segítségével.
Letöltés és telepítés Az egyik legmegbízhatóbb INGYENES kártevőirtó program, amely megtisztítja számítógépét a fennmaradó rosszindulatú fenyegetésektől. Ha folyamatosan védve szeretne maradni a rosszindulatú programokkal szemben, a meglévő és jövőbeli fenyegetésekkel szemben, javasoljuk, hogy telepítse a Malwarebytes Anti-Malware Premium programot:
Malwarebytes™ védelem
Eltávolítja a kémprogramokat, reklámprogramokat és rosszindulatú programokat.
Kezdje el ingyenes letöltését most!
Gyors letöltési és telepítési útmutató:
- Miután a fenti linkre kattintott, nyomja meg a „Indítsa el az ingyenes 14-es próbaverziómat” opciót a letöltés elindításához.
- A telepítéshez a INGYENES verzió ennek a csodálatos terméknek a jelölését törölje a „Engedélyezze a Malwarebytes Anti-Malware Premium ingyenes próbaverzióját” opciót az utolsó telepítési képernyőn.
Vizsgálja át és tisztítsa meg számítógépét a Malwarebytes Anti-Malware programmal.
1. Fuss "Malwarebytes Anti-Malware" és lehetővé teszi a program számára, hogy szükség esetén frissítsen a legújabb verzióra és a rosszindulatú adatbázisra.
2. Amikor a frissítési folyamat befejeződött, nyomja meg a „Szkenneld most” gombot, hogy elindítsa a rendszer rosszindulatú programok és nem kívánt programok keresését.
3. Most várja meg, amíg a Malwarebytes Anti-Malware befejezi a számítógépe rosszindulatú programok keresését.
4. Amikor a beolvasás befejeződött, először nyomja meg a „Karantén minden” gombot az összes talált fenyegetés eltávolításához.
5. Várja meg, amíg a Malwarebytes Anti-Malware eltávolítja az összes fertőzést a rendszerről, majd indítsa újra a számítógépet (ha szükséges a programból), hogy teljesen eltávolítsa az összes aktív fenyegetést.
6. A rendszer újraindítása után futtassa újra a Malwarebytes' Anti-Malware programot annak ellenőrzésére, hogy nem marad más fenyegetés a rendszerben.
2. rész. A Cryptowall titkosított fájlok visszaállítása árnyékmásolatokból.
Miután fertőtlenítette számítógépét a Cryptowall vírust, akkor itt az ideje, hogy megpróbálja visszaállítani a fájlokat a fertőzés előtti állapotba. Ennek két (2) módja van:
1. módszer: Állítsa vissza a Cryptowall titkosított fájljait a Windows „Korábbi verziók visszaállítása” funkciójával.
2. módszer: Állítsa vissza a Cryptowall titkosított fájljait a „Shadow Explorer” segédprogrammal.
Figyelem: Ez az eljárás csak a legújabb operációs rendszereken (Windows 8, 7 és Vista) működik, és csak akkor, ha a Rendszer-visszaállítás funkció korábban nem volt letiltva a fertőzött számítógépen.
1. módszer: A Cryptowall titkosított fájlok visszaállítása a „Korábbi verziók” funkció használatával.
1. Keresse meg azt a mappát vagy fájlt, amelyet korábbi állapotában vissza szeretne állítani, és Jobb klikk Rajta.
2. A legördülő menüből válassza a „Korábbi verziók visszaállítása”. *
3. Ezután válassza ki a mappa vagy fájl egy adott verzióját, majd nyomja meg a következőt:
- “Nyisd ki” gombot az adott mappa/fájl tartalmának megtekintéséhez.
- “Másolat” másolja ezt a mappát/fájlt a számítógép másik helyére (például a külső merevlemezre).
- “visszaállítás” a mappafájl visszaállításához és a meglévő cseréjéhez.
2. módszer: A Cryptowall titkosított fájlok visszaállítása a „Shadow Explorer” segédprogrammal.
ShadowExplorer, ingyenes csere a Előző verziók A Microsoft Windows Vista, 7 és 8 operációs rendszer funkciója, és segítségével visszaállíthatja az elveszett vagy sérült fájlokat Árnyékmásolatok.
1. Letöltés ShadowExplorer segédprogram től itt. (Letöltheti a ShadowExplorer telepítő vagy a Hordozható verzió program).
2. Fuss ShadowExplorer segédprogramot, majd válassza ki a dátumot, amikor vissza szeretné állítani a mappa/fájlok árnyékmásolatát.
3. Most keresse meg azt a mappát/fájlt, amelyet vissza szeretne állítani az előző verzióra, Jobb klikk rá, és válassza ki a „Export”.
4. Végül adja meg, hogy a mappa/fájl árnyékmásolata hova kerüljön exportálásra/mentésre (például az asztalra), majd nyomja meg a „rendben”.
Sok szerencsét!.
Szia, én is szeretném megköszönni! Elég gyorsan el tudtam távolítani egyedül, ilyen esetekben mindig a Malwarebytes a kedvencem. De a fájl helyreállítása nehezebb volt. Az Ontrack és az ehhez hasonló programok nem vittek sehova (minden fájl sérült), és a korábbi verziók sem működtek. Aztán rátaláltam erre, és kipróbáltam a Shadow explorert! Ez úgy működött, mint egy varázslat!
Szerencsémre órákon belül észlelték a fertőzött számítógépet (anyáim), mert elkezdett kavarni egy megosztott Dropbox mappát, amitől üzenetek jelennek meg a számítógépemen. Most már csak meg kell találnom a módját, hogy megakadályozzam, hogy az ilyen programok összezavarják a Dropboxban és a Google Drive-ban lévő biztonsági másolataimat, most, hogy az ilyen típusú dolgok újra elindulnak. Ha valakinek van ötlete, kérem jelezze!
Ez a legszörnyűbb élmény, amit az ember átélhet, nem kívánom ezt a legrosszabb ellenségemnek, sok sikert mindenkinek, jöjjenek a bejegyzések, hátha talál valaki megoldás, reméljük és imádkozunk, most megfertőződtem és keresem a megoldást, én is win Xp-n vagyok, és ha találok valamit, újra felteszem hasznos. Köszönöm mindenkinek a segítséget.
Kedves Mindenki,
Néhány napja a laptopomat megtámadta a fenti vírus, és most próbálok megoldást találni. Mivel a fenti utolsó bejegyzés április 15-i keltezésű, kíváncsi vagyok, találkozott-e valaki más megoldással? Kipróbálta valaki a Cal által említett eljárást (pl.
vegye ki a merevlemezt, tegye be egy másik gépbe külső meghajtóként, és futtasson egy fájlhelyreállító programot)? Előre is köszönöm.
Szia, ugyanaz a vírusom van, és nincs semmi fontos a számítógépemen. Telepíthetek egy új Windows-t? A vírus biztosan eltűnt, igaz? Kérem, mielőbb válaszoljon, mert az internetszolgáltató blokkolja a kapcsolatomat, mert ez a hülye vírus. Előre is köszönöm :)
Szép cikk, egy másik webhelyen találtam a következő fájl-helyreállítási megoldást, és szeretném tudni, hogy hallott-e róla, és működik-e. Előre is köszönöm! Cal
——————————————————————————————————–
Mi van akkor, ha nincsenek árnyékmásolatai és biztonsági másolata a fájlokról? Még mindig van mód.
Mint mondtam, a Cryptowall nem titkosítja az eredeti fájlokat. Másolatot készít róla, titkosítja és törli az eredeti fájlt.
Amint azt valószínűleg Ön is tudja, a törölt fájl visszaállítható, ha a lemezen nincs ráírva semmi. Jó gondolja, hogy gyorsan kapcsolja ki a gépet a fertőzés után!
Most már csak annyit kell tennie, hogy kiveszi a merevlemezt, és behelyezi egy másik gépbe külső meghajtóként, vagy második meghajtóként, ha nincs Sata dokkolója, vagy futtat egy fájlhelyreállító programot.
Az Ontrack EasyRecovery-t vagy az R-Studio-t, vagy akár a DataRescue for Mac-et használom.
Az Ontrack EasyRecovery pro verziója képes lehet a RAID-tömbből származó fájlok helyreállítására is, ha az egyik hálózati megosztás titkosítva van, és nincs biztonsági másolata.
Mindezek a programok képesek lesznek visszaállítani a Cryptowall által törölt eredeti fájlokat.
Csak győződjön meg arról, hogy amikor ezeket futtatja, NE közvetlenül az eredeti gépen tegye, mivel ha a fertőzött lemezre ír, a program felülírhatja a törölt fájlokat.
Ezzel a módszerrel a fájlok 99%-át helyre kell állítani.
Azt hiszem, körülbelül egy hónapja vettem fel a kriptowall dolgot, először azt vettem észre, hogy nem tudom megnyitni a fájlokat, majd a decrypt_instruction.txt fájlt az asztalon. Nem tudván, hogy mit tudok most, csak elkezdtem törölni mindent, ami a dekódolás visszafejtésére utalt… Soha nem irányítottak a BITCOIN weboldal üzletére. Azóta futtatom a Malwarebvtes-t és a Spyhunter-t, most meg akarom próbálni visszaállítani néhány fájlomat ezzel a Shadow Explorerrel… bármilyen további tanács? Kösz!!