CryptoWall ir vēl viens nepatīkams izspiedējvīruss, kas inficē Windows operētājsistēmas, un tā ir atjauninātā versija Kriptoaizsardzība ransomware vīruss. Kā labs ‘bērns’ saglabā savas sākotnējās spējas, kā arī dažas jaunas. CryptoWall šifrē visus jūsu failus un saglabā tos bloķētus, un nav iespējas tos izmantot, kamēr neesat samaksājis pieprasīto izpirkuma maksu. CryptoWall var šifrēt visus zināmos failu tipus (dokumentus, PDF failus, fotogrāfijas, videoklipus un daudz ko citu) visos pievienotajos atmiņas diskos vai vietās. Tas nozīmē, ka tas var inficēt (šifrēt) visus lokālajā vai tīkla diskdzinī (-os) esošos failus, pat mākoņkrātuves sistēmās (piemēram, Google disks, Dropbox, Box utt.). Kriptomūris to dara, katram failam pievienojot spēcīgu šifrēšanu (RSA 2048). Vienkāršiem vārdiem sakot, jūs vairs nevarat atvērt savus failus vai strādāt ar tiem.
Pēc Kriptomūris infekcija, vīruss izveido vairākus failus katrā inficētajā mapē ar nosaukumu DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html
The Cryptowall's izpirkuma maksa ir iestatīta uz 500 $ (BitCoins), ja jūs to samaksājat noteiktā termiņā, pretējā gadījumā izpirkuma maksa tiks palielināta par 1000 $. Pēc maksājuma hakeri jums nosūtīs jūsu privāto atšifrēšanas atslēgu, kas, domājams, var atšifrēt jūsu failus. Problēma ir tāda, ka pat tad, ja maksājat izpirkuma maksu, jūs nevarat būt pārliecināts, ka faili tiks atjaunoti. Vienīgā garantija ir tāda, ka jūsu nauda nonāks kādam hakeram, kurš turpinās darīt to pašu ar citiem upuriem.
Pilns CryptoWall informatīvais ziņojums ir šāds:
“
Kas notika ar jūsu failiem?
Visi jūsu faili tika aizsargāti ar spēcīgu šifrēšanu ar RSA-2048, izmantojot CryptoWall.
Plašāku informāciju par šifrēšanas atslēgām, izmantojot RSA-2048, var atrast šeit: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Ko tas nozīmē ?
Tas nozīmē, ka jūsu failu struktūra un dati ir neatgriezeniski mainīti, jūs nevarēsit ar tiem strādāt, tos lasīt vai skatīt,
tas ir tas pats, kas tos pazaudēt uz visiem laikiem, taču ar mūsu palīdzību jūs varat tos atjaunot.
Kā tas notika?
Īpaši jums mūsu serverī tika ģenerēts slepeno atslēgu pāris RSA-2048 - publiska un privāta.
Visi jūsu faili tika šifrēti ar publisko atslēgu, kas ir pārsūtīta uz jūsu datoru, izmantojot internetu.
Jūsu failu atšifrēšana ir iespējama tikai ar privātās atslēgas un atšifrēšanas programmas palīdzību, kas atrodas mūsu slepenajā serverī.
Ko man darīt ?
Diemžēl, ja jūs neveiksit nepieciešamos pasākumus noteiktajā laikā, tiks mainīti nosacījumi privātās atslēgas iegūšanai.
Ja jūs patiešām novērtējat savus datus, mēs iesakām netērēt dārgo laiku citu risinājumu meklēšanai, jo tie neeksistē.
Lai iegūtu precīzākus norādījumus, lūdzu, apmeklējiet savu personīgo sākumlapu. Tālāk ir norādītas dažas dažādas adreses, kas norāda uz jūsu lapu:
1.https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2.https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3.https://kpa2i8ycr9jxqwilp.onion.to/xxxx
Ja kādu iemeslu dēļ adreses nav pieejamas, rīkojieties šādi:
1. Lejupielādējiet un instalējiet tor-pārlūku: http://www.torproject.org/projects/torbrowser.html.en
2.Pēc veiksmīgas instalēšanas palaidiet pārlūkprogrammu un gaidiet inicializāciju.
3. Adreses joslā ierakstiet: kpa2i8ycr9jxqwilp.onion/xxxx
4. Izpildiet vietnē sniegtos norādījumus.
SVARĪGA INFORMĀCIJA:
Jūsu personīgā lapa: kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
Jūsu personīgā lapa (izmantojot TOR): kpa2i8ycr9jxqwilp.onion/xxxx
Jūsu personas identifikācijas numurs (ja vietni (vai TOR) atverat tieši): xxxx
“
Kā novērst CryptoWall infekciju.
- Piesardzība vienmēr ir drošākais veids, kā saglabāt datoru neskartu.
- Ikreiz, kad atverat nezināmu e-pastu, jums jābūt ļoti uzmanīgam, īpaši, ja šādā e-pastā ir viltots paziņojums (piemēram, “UPS Exception Notification”) vai .EXE, .SCR vai .ZIP faila pielikumi.
- Jums jābūt uzmanīgam krāpniecības vietnēs, kurās tiek piedāvāts instalēt programmatūru, kas jums šķietami nepieciešama, un NEINSTALLĒJIET šādu programmatūru.
- Labākais veids, kā cīnīties ar visa veida ļaunprātīgas programmatūras infekcijām, ir vienmēr nodrošināt tīru un pēc iespējas jaunāku informāciju jūsu svarīgo failu dublējumkopijas, kas saglabātas citā OFFLINE (atvienotā) datu nesējā (piemēram, ārējā USB HDD, DVD ROM, utt.). Ja to darāt, vispirms varat dezinficēt datoru un pēc tam atjaunot visus failus no tīrā dublējuma.
Informācija: Šim uzdevumam es izmantoju uzticamu viedo un BEZMAKSAS (personīgai lietošanai) dublēšanas programmatūru ar nosaukumu “SyncBackFree”. Detalizēts raksts par lietošanu SyncBackFree var atrast svarīgus failus, lai dublētu šeit. - Korporatīvā tīkla tehniķi var izmantot diska attēlveidošanas programmatūru (piemēram,Acronis True Image”), lai plānotā laikā veiktu darbstaciju (vai serveru) stāvokļa attēlu dublējumus. To darot, atjaunošanas process ir daudz vienkāršāks un ātrāks, un to ierobežo tikai attēlveidošanas procesā pieejamā krātuve.
Kā atgūt failus pēc Cryptowall inficēšanās.
Diemžēl BEZMAKSAS atšifrēšanas rīks vai metode Cryptowall šifrēto failu atšifrēšanai NEPASTĀV (līdz šī raksta tapšanas dienai – 2014. gada jūnija beigās). Tātad vienīgās iespējas, kas jums ir pieejamas, lai atgūtu failus, ir šādas:
- Pirmā iespēja ir samaksāt izpirkuma maksu*. Pēc tam jūs saņemsit no noziedzniekiem savu privāto atšifrēšanas rīku failu atšifrēšanai.
* Piezīme: Ja jūs nolemjat maksāt izpirkuma maksu, jums tas jādara uz savu risku. Noziedznieki nav tie uzticamākie cilvēki pasaulē. - Otra iespēja ir dezinficēt datoru un pēc tam atjaunot failus no tīras dublējuma (ja jums tāda ir).
- Visbeidzot, ja jums ir operētājsistēma Windows 8, 7 vai Vista OS un “Sistēmas atjaunošana” funkcija jūsu sistēmā netika atspējota (piemēram, pēc vīrusu uzbrukuma), tad pēc sistēmas dezinficēšanas varat mēģināt atjaunot failus iepriekšējās versijās noĒnu kopijas”. (Skatiet tālāk šo rakstu par to, kā to izdarīt).
Kā noņemt Cryptowall vīrusu un atjaunot failus no Shadow Copies.
1. daļa. Kā noņemt Kripto sienas infekcija.
Uzmanību: Ja vēlaties noņemtKriptomūris inficēšanās no datora, jums ir jāsaprot, ka faili paliks šifrēti, pat ja dezinficēsit datoru no šīs nepatīkamās ļaunprātīgās programmatūras.
VĒLREIZ:NETURPINĀT NOŅEMT KRIPTAUŠU VĪRUS JA NAV:
JUMS IR TĪRA SAVU DATU DUBLĒJUMA KOPIJA, KAS SAGLABĀTA CITU VIETĀ (piemēram, atvienotā portatīvajā cietajā diskā).
vai
Šifrētie faili JUMS NAV VAJADZĪGI, JO TIE JUMS NAV TIK SVARĪGI.
vai
JŪS VĒLATIES MĒĢINĀT, LAI ATJAUNOTU SAVUS FAILU, IZMANTOJOT ĒNU KOPIJAS FONTU (šīs ziņas 2. daļa).
Tātad, ja esat pieņēmis galīgo lēmumu, vispirms turpiniet, lai noņemtu Kriptomūris izspiedējvīrusa infekcija no datora un pēc tam mēģināt atjaunot failus, veicot tālāk norādītās darbības.
1. darbība: startējiet datoru drošajā režīmā ar tīklu
Lai to izdarītu,
1. Izslēdziet datoru.
2.Iedarbiniet datoru (Ieslēgt) un, kamēr dators sāk palaist, nospiediet "F8" taustiņu, pirms tiek parādīts Windows logotips.
3. Izmantojot tastatūras bultiņas, atlasiet "Drošais režīms ar tīklu" opciju un nospiediet "Enter".
![drošais režīms-ar-networking_thumb1_thu[1]](/f/4ec247f7e9f75ab623dffb55c9103229.jpg "drošais režīms-ar-networking_thumb1_thu[1]")
2. darbība. Apturiet un izdzēsiet Cryptowall darbības procesus, izmantojot RogueKiller.
RogueKiller ir ļaunprātīgas programmatūras apkarošanas programma, kas izstrādāta, lai atklātu, apturētu un noņemtu vispārēju ļaunprogrammatūru un dažus uzlabotus draudus, piemēram, sakņu komplektus, negodīgos rīkus, tārpus utt.
1.Lejupielādēt un saglabāt "RogueKiller" utilīta jūsu datorā"* (piemēram, jūsu darbvirsmā)
Paziņojums*: Lejupielādēt versija x86 vai X64 atbilstoši jūsu operētājsistēmas versijai. Lai atrastu savas operētājsistēmas versiju,Ar peles labo pogu noklikšķiniet" uz datora ikonas izvēlieties "Īpašības"un paskaties"Sistēmas tips" sadaļa.
2.Dubultklikšķi skriet RogueKiller.
3. Pagaidiet, līdz tiek pabeigta sākotnējā skenēšana, un pēc tam izlasiet un "Pieņemt” licences nosacījumi.
4. Nospiediet "Skenēt” pogu, lai pārbaudītu jūsu datoru, lai atrastu ļaunprātīgus draudus un ļaunprātīgus startēšanas ierakstus.
5. Visbeidzot, kad pilna skenēšana ir pabeigta, nospiediet "Dzēst" pogu, lai noņemtu visus atrastos ļaunprātīgos vienumus.
6. Aizvērt “RogueKiller” un pārejiet pie nākamās darbības.
3. darbība. Noņemt Cryptowall infekcija ar Malwarebytes Anti-Malware Free.
Lejupielādēt un uzstādīt Viena no šodienas uzticamākajām BEZMAKSAS ļaunprātīgas programmatūras apkarošanas programmām, lai attīrītu datoru no atlikušajiem ļaunprātīgajiem draudiem. Ja vēlaties būt pastāvīgi aizsargāts pret ļaunprogrammatūras draudiem, esošiem un turpmākiem, mēs iesakām instalēt Malwarebytes Anti-Malware Premium:
Malwarebytes™ aizsardzība
Noņem spiegprogrammatūru, reklāmprogrammatūru un ļaunprātīgu programmatūru.
Sāciet savu bezmaksas lejupielādi tūlīt!
Ātrās lejupielādes un instalēšanas instrukcijas:
- Kad esat noklikšķinājis uz iepriekš esošās saites, nospiediet uz "Sāciet manu bezmaksas 14 izmēģinājumu versiju” opciju, lai sāktu lejupielādi.
![malwarebytes-downlaod_thumb1_thumb2_[1]](/f/85c9e21227a57efd2f74d07ac2f5d2f1.jpg "malwarebytes-downlaod_thumb1_thumb2_[1]")
- Lai instalētu BEZMAKSAS versija no šī apbrīnojamā produkta, noņemiet atzīmi no "Iespējojiet Malwarebytes Anti-Malware Premium bezmaksas izmēģinājuma versiju” opcija pēdējā instalēšanas ekrānā.
![malwarebytes-anti-malware-free-insta[2]](/f/6e4df1ccb6ff3af1fba1ad7e521a5f0c.jpg "malwarebytes-anti-malware-free-insta[2]")
Skenējiet un notīriet datoru, izmantojot Malwarebytes Anti-Malware.
1. Skrien"Malwarebytes Anti-Malware" un ļauj programmai atjaunināt uz jaunāko versiju un ļaunprātīgu datu bāzi, ja nepieciešams.
![update-malwarebytes-anti-malware_thu[1]](/f/3831a57d87b5e636c63c4eafdff5dd8a.jpg "update-malwarebytes-anti-malware_thu[1]")
2. Kad atjaunināšanas process ir pabeigts, nospiediet "Skenēt tagad” pogu, lai sāktu skenēt sistēmu, lai atrastu ļaunprātīgu programmatūru un nevēlamas programmas.
![start-scan-malwarebytes-anti-malware[2]](/f/92b1173cd459e91620706cc55780df64.jpg "start-scan-malwarebytes-anti-malware[2]")
3. Tagad pagaidiet, līdz Malwarebytes Anti-Malware pabeidz jūsu datora skenēšanu, lai noteiktu ļaunprātīgu programmatūru.
4. Kad skenēšana ir pabeigta, vispirms nospiediet "Visas karantīnas” pogu, lai noņemtu visus atrastos draudus.
5. Pagaidiet, līdz Malwarebytes Anti-Malware noņem visas infekcijas no jūsu sistēmas, un pēc tam restartējiet datoru (ja programma to pieprasa), lai pilnībā noņemtu visus aktīvos draudus.
![wwrq1ctw_thumb1_thumb_thumb_thumb_th[2]](/f/cbf0ad5eb2299af76dc78b52b503ba4f.jpg "wwrq1ctw_thumb1_thumb_thumb_thumb_th[2]")
6. Pēc sistēmas restartēšanas, vēlreiz palaidiet Malwarebytes' Anti-Malware lai pārbaudītu, vai jūsu sistēmā nepaliek citi draudi.
2. daļa. Kā atjaunot Cryptowall šifrētos failus no Shadow kopijām.
Pēc tam, kad esat dezinficējis datoru no Kriptomūris vīrusu, tad ir pienācis laiks mēģināt atjaunot failus atpakaļ stāvoklī pirms inficēšanās. Ir divas (2) metodes, kā to izdarīt:
1. metode: Atjaunojiet Cryptowall šifrētos failus, izmantojot Windows funkciju Atjaunot iepriekšējās versijas.
2. metode: Atjaunojiet Cryptowall šifrētos failus, izmantojot utilītu Shadow Explorer.
Uzmanību: Šī procedūra darbojas tikai jaunākajās operētājsistēmās (Windows 8, 7 un Vista) un tikai tad, ja Sistēmas atjaunošana funkcija inficētajā datorā iepriekš nebija atspējota.
1. metode: kā atjaunot Cryptowall šifrētos failus, izmantojot funkciju “Iepriekšējās versijas”.
1. Pārejiet uz mapi vai failu, kuru vēlaties atjaunot iepriekšējā stāvoklī, un ar peles labo pogu noklikšķiniet uz tā.
2. Nolaižamajā izvēlnē atlasiet “Atjaunot iepriekšējās versijas”. *
3. Pēc tam izvēlieties konkrētu mapes vai faila versiju un pēc tam nospiediet:
- “Atvērt” pogu, lai skatītu šīs mapes/faila saturu.
- “Kopēt”, lai kopētu šo mapi/failu uz citu datora vietu (piemēram, ārējo cieto disku).
- “Atjaunot”, lai atjaunotu mapes failu tajā pašā vietā un aizstātu esošo.
2. metode: kā atjaunot Cryptowall šifrētos failus, izmantojot utilītu “Shadow Explorer”.
ShadowExplorer, ir bezmaksas aizstājējs Iepriekšējās versijas Microsoft Windows Vista, 7 un 8 OS funkciju, un jūs varat to izmantot, lai atjaunotu pazaudētus vai bojātus failus no Ēnu kopijas.
1. Lejupielādēt ShadowExplorer lietderība no šeit. (Varat lejupielādēt ShadowExplorer instalētājs vai Pārnēsājama versija no programmas).
2. Skrien ShadowExplorer utilītu un pēc tam atlasiet datumu, kurā vēlaties atjaunot mapes/failu ēnu kopiju.
3. Tagad dodieties uz mapi/failu, kuru vēlaties atjaunot iepriekšējā versijā, ar peles labo pogu noklikšķiniet uz tā un atlasiet “Eksportēt”.
![ShadowExplorer eksportēšana[5]](/f/8e61d7999dad12db5c469deb2ccff192.jpg "ShadowExplorer eksportēšana[5]")
4. Visbeidzot norādiet, kur tiks eksportēta/saglabāta jūsu mapes/faila ēnu kopija (piemēram, jūsu darbvirsma) un nospiediet “labi”.
Veiksmi!.
Sveiki, es arī gribēju pateikt paldies! Es to varēju diezgan ātri noņemt pats, jo Malwarebytes vienmēr ir mana palīdzība šādos gadījumos. Taču failu atkopšana bija grūtāka. Ontrack un tādas programmas mani nekur nenovedināja (visi faili tika bojāti), un arī iepriekšējās versijas nedarbojās. Tad es atradu šo un izmēģināju ēnu pētnieku! Tas darbojās kā šarms!
Man par laimi inficētais dators (manas mātes) tika atklāts dažu stundu laikā, jo tas sāka sajaukties ar koplietoto Dropbox mapi, kas manā datorā lika saņemt ziņojumus. Tagad man tikai jāatrod veids, kā novērst, ka šādas programmas sajaucas ar maniem dublējumiem pakalpojumā Dropbox un Google disks, tagad, kad šāda veida lietas atkal sāk darboties. Ja kādam ir idejas, lūdzu, dodiet ziņu!
Šī ir visbriesmīgākā pieredze, ko kāds var piedzīvot, es to nenovēlu savam ļaunākajam ienaidniekam, veiksmi visiem, turpiniet skatīt ziņas, iespējams, kāds atradīs risinājums, mēs ceram un mēs lūdzam, es pats tikko inficējos un meklēju risinājumu, esmu arī win Xp un publicēšu atkārtoti, ja kaut ko atradīšu noderīga. Paldies visiem par palīdzību.
Cienījamie visi!
Pirms dažām dienām manu klēpjdatoru uzbruka iepriekš minētais vīruss, un tagad es cenšos atrast risinājumu. Tā kā pēdējā ziņa iepriekš ir datēta ar 15. aprīli, man rodas jautājums, vai kāds ir saskāries ar kādu citu risinājumu? Vai kāds ir izmēģinājis Kala minēto procedūru (t.i.
izņemt cieto disku, ievietot to citā mašīnā kā ārējo disku un palaist failu atkopšanas programmu)? Jau iepriekš pasakos.
Sveiki, man ir tas pats vīruss, un manā datorā nav nekā svarīga, vai varu vienkārši instalēt jaunu Windows? Nekā vīruss noteikti ir pazudis, vai ne? Lūdzu, atbildiet pēc iespējas ātrāk, jo mans interneta operators bloķē manu savienojumu tā stulbā vīrusa dēļ. Pateicos jau iepriekš :)
Jauks raksts, es atradu šādu failu atkopšanas risinājumu citā vietnē un vēlos uzzināt, vai esat par to dzirdējuši un vai tas darbojas. Paldies jau iepriekš! Cal
——————————————————————————————————–
Ko darīt, ja jums nav ēnu kopiju un failu dublējumkopiju? Joprojām ir veids.
Kā jau teicu, Cryptowall nešifrē jūsu sākotnējos failus. Tas izveidos tā kopiju, šifrēs to un izdzēsīs sākotnējo failu.
Kā jūs droši vien zināt, izdzēstu failu var atgūt, ja jūsu diskā nekas nav ierakstīts virs tā. Labi, ka drīz pēc inficēšanās ātri izslēdzat iekārtu!
Tagad viss, kas jums jādara, ir izņemt cieto disku, ievietot to citā mašīnā kā ārējo disku vai otrajā diskā, ja jums nav sata dokstacijas, palaidiet failu atkopšanas programmu.
Es izmantoju Ontrack EasyRecovery vai R-Studio, vai pat DataRescue for Mac.
Ontrack EasyRecovery pro versija var arī atkopt failus no RAID masīva, ja kāds no jūsu tīkla kopīgotajiem failiem ir šifrēts un jums nav dublējumkopiju.
Visas šīs programmas varēs atgūt Cryptowall izdzēstos oriģinālos failus.
Vienkārši pārliecinieties, ka, palaižot tos, NEDARIET to tieši oriģinālajā datorā, jo, ierakstot inficētajā diskā, programma var pārrakstīt jūsu izdzēstos failus.
Izmantojot šo metodi, jums vajadzētu būt iespējai atgūt 99% failu.
Es domāju, ka es paņēmu kriptovaldes lietu apmēram pirms mēneša, vispirms pamanīju, ka nevaru atvērt failus, pēc tam pamanīju darbvirsmā failu decrypt_instruction.txt. Nezinot to, ko zinu tagad, es tikko sāku dzēst visu, kas teica kaut ko par atšifrēšanu... Es nekad neesmu bijis novirzīts uz BITCOIN tīmekļa lapas darījumu. Kopš tā laika esmu palaidis Malwarebvtes un Spyhunter, tagad es vēlos mēģināt atgūt dažus savus failus, izmantojot šo Shadow Explorer… vai ir kādi papildu padomi? Paldies!!