CryptoWall er et annet ekkelt løsepengevirus som infiserer Windows-operativsystemer, og det er den oppdaterte versjonen av Kryptoforsvar løsepengevirus. Som et godt «barn» beholder det sine opprinnelige evner, så vel som noen nye. CryptoWall krypterer alle filene dine og holder dem låst, og det er ingen måte å bruke dem på før du betaler løsepengene. CryptoWall kan kryptere alle kjente filtyper (dokumenter, PDF, fotografier, videoer og mer) på alle tilkoblede lagringsstasjoner eller lokasjoner. Det betyr at den kan infisere (kryptere) alle filene på den lokale eller nettverksstasjonen(e), selv i skylagringssystemer (f.eks. Google Drive, Dropbox, Box, etc.). Kryptomur gjør det ved å legge til sterk kryptering (RSA 2048) på hver fil. Med enkle ord kan du ikke åpne – eller jobbe med – filene dine lenger.
Etter Kryptomur infeksjon, oppretter viruset flere filer på hver infisert mappe kalt DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html, og DECRYPT_INSTRUCTION.url som inneholder notater om hvordan du betaler løsepenger for å dekryptere de krypterte filene ved å følge en bestemt prosedyre ved å bruke
Tor nettleser.De Cryptowall's løsepenger er satt til 500$ (i BitCoins), hvis du betaler den innen fristen, ellers vil løsepengene økes til 1000$. Etter betaling vil hackere sende deg din private dekrypteringsnøkkel som – visstnok – kan dekryptere filene dine. Problemet her er at selv om du betaler løsepenger, kan du ikke være sikker på at filene dine blir gjenopprettet. Den eneste garantien er at pengene dine går til en hacker som vil fortsette å gjøre det samme mot andre ofre.
Den fulle CryptoWall informasjonsmeldingen er som følger:
“
Hva skjedde med filene dine?
Alle filene dine ble beskyttet av en sterk kryptering med RSA-2048 ved bruk av CryptoWall.
Mer informasjon om krypteringsnøklene som bruker RSA-2048 finner du her: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Hva betyr dette ?
Dette betyr at strukturen og dataene i filene dine har blitt ugjenkallelig endret, du vil ikke kunne jobbe med dem, lese dem eller se dem,
det er det samme som å miste dem for alltid, men med vår hjelp kan du gjenopprette dem.
Hvordan skjedde dette ?
Spesielt for deg ble det hemmelige nøkkelparet RSA-2048 generert på serveren vår – offentlig og privat.
Alle filene dine ble kryptert med den offentlige nøkkelen, som har blitt overført til datamaskinen din via Internett.
Dekryptering av filene dine er kun mulig ved hjelp av den private nøkkelen og dekrypteringsprogrammet, som ligger på vår hemmelige server.
Hva gjør jeg ?
Akk, hvis du ikke tar de nødvendige tiltakene for den angitte tiden, vil betingelsene for å få den private nøkkelen bli endret.
Hvis du virkelig verdsetter dataene dine, foreslår vi at du ikke kaster bort verdifull tid på å søke etter andre løsninger fordi de ikke eksisterer.
For mer spesifikke instruksjoner, vennligst besøk din personlige hjemmeside, det er noen forskjellige adresser som peker til siden din nedenfor:
1.https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2.https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3.https://kpa2i8ycr9jxqwilp.onion.to/xxxx
Hvis adressene av en eller annen grunn ikke er tilgjengelig, følg disse trinnene:
1.Last ned og installer Tor-nettleseren: http://www.torproject.org/projects/torbrowser.html.en
2.Etter en vellykket installasjon, kjør nettleseren og vent på initialisering.
3. Skriv inn i adressefeltet: kpa2i8ycr9jxqwilp.onion/xxxx
4. Følg instruksjonene på nettstedet.
VIKTIG INFORMASJON:
Din personlige side: kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
Din personlige side (ved hjelp av TOR): kpa2i8ycr9jxqwilp.onion/xxxx
Ditt personlige identifikasjonsnummer (hvis du åpner siden (eller TOR-er) direkte): xxxx
“
Hvordan forhindre CryptoWall-infeksjon.
- Forholdsregler er alltid den sikreste måten å holde PC-en din uskadd.
- Du må være veldig forsiktig når du åpner en ukjent e-post, spesielt hvis en slik e-post inneholder en falsk melding (f.eks. "UPS Exception Notification") eller .EXE-, .SCR- eller .ZIP-filvedlegg.
- Du må være forsiktig på svindelsider som ber deg installere programvare som du angivelig trenger, og IKKE INSTALLERE slik programvare.
- Den beste måten å håndtere alle typer malware-infeksjoner på er å alltid ha en ren og så fersk som mulig sikkerhetskopiering av viktige filer lagret på et annet OFFLINE (frakoblet) medium (f.eks. ekstern USB HDD, DVD ROM, etc.). Hvis du gjør det, kan du først desinfisere datamaskinen og deretter gjenopprette alle filene dine fra den rene sikkerhetskopien.
Info: For denne oppgaven bruker jeg en pålitelig smart og GRATIS (for personlig bruk) sikkerhetskopieringsprogramvare kalt "SyncBackFree”. En detaljert artikkel om hvordan du bruker SyncBackFree for å sikkerhetskopiere viktige filer kan bli funnet her. - Bedriftsnettverksteknikere kan bruke diskbildeprogramvare (som "Acronis True Image”) for å ta sikkerhetskopier av bilder av arbeidsstasjoner (eller servere) til planlagte tider. Ved å gjøre det er gjenopprettingsprosessen mye enklere og raskere og begrenses bare fra lagringen du har tilgjengelig fra bildebehandlingsprosessen.
Slik får du tilbake filene dine etter Cryptowall-infeksjon.
Dessverre FINNER IKKE et GRATIS dekrypteringsverktøy eller metode for å dekryptere Cryptowall-krypterte filer (inntil dagen denne artikkelen ble skrevet – i slutten av juni 2014). Så de eneste alternativene du har for å få tilbake filene dine er følgende:
- Det første alternativet er å betale løsepengene*. Etter det vil du motta fra kriminelle ditt private dekrypteringsverktøy for å dekryptere filene dine.
* Merk: Hvis du bestemmer deg for å betale løsepengene, må du gjøre det på egen risiko. Kriminelle er ikke de mest pålitelige menneskene i verden. - Det andre alternativet er å desinfisere datamaskinen og deretter gjenopprette filene fra en ren sikkerhetskopi (i tilfelle du har en).
- Til slutt, hvis du har et Windows 8, 7 eller Vista OS og "Systemgjenoppretting"-funksjonen ble ikke deaktivert på systemet ditt (f.eks. etter et virusangrep), så etter desinfisering av systemet kan du prøve å gjenopprette filene dine i tidligere versjoner fra "Skyggekopier”. (Se nedenfor i denne artikkelen om hvordan du gjør det).
Slik fjerner du Cryptowall-virus og gjenoppretter filene dine fra Shadow Copies.
Del 1. Hvordan fjerne Cryptowall-infeksjon.
Merk følgende : Hvis du vil fjerneKryptomur infeksjon fra datamaskinen din, må du innse at filene dine forblir krypterte, selv om du desinfiserer datamaskinen fra denne ekle skadelige programvaren.
EN GANG TIL:IKKE FORTSETT Å FJERNE CRYPTOWALL VIRUS MED MINDRE:
DU HAR EN REN SIKKERHETSKOPI AV FILENE LAGREDE PÅ ET ANNEN STED (som en frakoblet bærbar harddisk.)
eller
DU TRENGER IKKE DE KRYPTERT FILENE FORDI DE IKKE ER SÅ VIKTIGE FOR DEG.
eller
DU VIL GJØRE DET ET PRØV Å GJENOPPA FILEN DINE VED HJELP AV SKYGEKOPIER-FUNKSJONEN (Del 2 av dette innlegget).
Så hvis du har tatt den endelige avgjørelsen, fortsett, først for å fjerne Kryptomur ransomware-infeksjon fra datamaskinen din og deretter prøve å gjenopprette filene dine ved å følge prosedyren nedenfor:
Trinn 1: Start datamaskinen i "Sikker modus med nettverk"
Å gjøre dette,
1. Slå av datamaskinen.
2.Start opp datamaskinen (Slå på) og mens datamaskinen starter opp, trykk den "F8"-tasten før Windows-logoen vises.
3. Bruk pilene på tastaturet til å velge "Sikkermodus med nettverk" og trykk "Enter".
![sikker-modus-med-nettverk_thumb1_thu[1]](/f/4ec247f7e9f75ab623dffb55c9103229.jpg "sikker-modus-med-nettverk_thumb1_thu[1]")
Steg 2. Stopp og slett Cryptowall kjørende prosesser med RogueKiller.
RogueKiller er et anti-malware-program utviklet for å oppdage, stoppe og fjerne generisk malware og noen avanserte trusler som rootkits, rogues, orms, etc.
1.nedlasting og lagre "RogueKiller"-verktøyet på datamaskinen din'* (f.eks. skrivebordet ditt)
Legge merke til*: nedlasting versjon x86 eller X64 i henhold til operativsystemets versjon. For å finne operativsystemets versjon, "Høyreklikk" på datamaskinikonet, velg "Egenskaper"og se på"System type" seksjon.
2.Dobbeltklikk å løpe RogueKiller.
3. Vent til forhåndsskanningen er fullført og les deretter og "Aksepterer" lisensvilkårene.
4. Trykk "Skann”-knappen for å skanne datamaskinen for ondsinnede trusler og ondsinnede oppstartsoppføringer.
5. Til slutt, når hele skanningen er fullført, trykker du på "Slett" for å fjerne alle skadelige gjenstander som er funnet.
6. Lukk “RogueKiller” og fortsett til neste trinn.
Trinn 3. Fjerne Cryptowall-infeksjon med Malwarebytes Anti-Malware Free.
nedlasting og installere et av de mest pålitelige GRATIS anti-malware programmene i dag for å rense datamaskinen fra gjenværende ondsinnede trusler. Hvis du vil være konstant beskyttet mot trusler mot skadelig programvare, eksisterende og fremtidige, anbefaler vi at du installerer Malwarebytes Anti-Malware Premium:
Malwarebytes™-beskyttelse
Fjerner spyware, adware og skadelig programvare.
Start din gratis nedlasting nå!
Rask nedlasting og installasjonsinstruksjoner:
- Etter at du har klikket på lenken ovenfor, trykk på "Start min gratis 14-prøveperiodealternativet for å starte nedlastingen.
![malwarebytes-downlaod_thumb1_thumb2_[1]](/f/85c9e21227a57efd2f74d07ac2f5d2f1.jpg "malwarebytes-downlaod_thumb1_thumb2_[1]")
- For å installere GRATIS versjon av dette fantastiske produktet, fjern merket for "Aktiver gratis prøveversjon av Malwarebytes Anti-Malware Premium"-alternativet på den siste installasjonsskjermen.
![malwarebytes-anti-malware-free-insta[2]](/f/6e4df1ccb6ff3af1fba1ad7e521a5f0c.jpg "malwarebytes-anti-malware-free-insta[2]")
Skann og rengjør datamaskinen med Malwarebytes Anti-Malware.
1. Løpe "Malwarebytes Anti-Malware" og la programmet oppdatere til siste versjon og skadelig database hvis nødvendig.
![update-malwarebytes-anti-malware_thu[1]](/f/3831a57d87b5e636c63c4eafdff5dd8a.jpg "update-malwarebytes-anti-malware_thu[1]")
2. Når oppdateringsprosessen er fullført, trykk på "Skann nå”-knappen for å begynne å skanne systemet for skadelig programvare og uønskede programmer.
![start-scan-malwarebytes-anti-malware[2]](/f/92b1173cd459e91620706cc55780df64.jpg "start-scan-malwarebytes-anti-malware[2]")
3. Vent nå til Malwarebytes Anti-Malware er ferdig med å skanne datamaskinen for skadelig programvare.
4. Når skanningen er fullført, trykk først på "Karantene alle"-knappen for å fjerne alle trusler som er funnet.
5. Vent til Malwarebytes Anti-Malware fjerner alle infeksjoner fra systemet ditt, og start deretter datamaskinen på nytt (hvis nødvendig fra programmet) for å fjerne alle aktive trusler fullstendig.
![wwrq1ctw_thumb1_thumb_thumb_thumb_th[2]](/f/cbf0ad5eb2299af76dc78b52b503ba4f.jpg "wwrq1ctw_thumb1_thumb_thumb_thumb_th[2]")
6. Etter at systemet starter på nytt, kjør Malwarebytes' Anti-Malware igjen for å bekrefte at ingen andre trusler er igjen i systemet.
Del 2. Hvordan gjenopprette Cryptowall-krypterte filer fra Shadow-kopier.
Etter at du har desinfisert datamaskinen fra Kryptomur virus, så er det på tide å prøve å gjenopprette filene dine tilbake til deres tilstand før infeksjonen. Det er to (2) metoder for å gjøre det:
Metode 1: Gjenopprett Cryptowall-krypterte filer ved å bruke Windows-funksjonen "Gjenopprett tidligere versjoner".
Metode 2: Gjenopprett Cryptowall-krypterte filer ved å bruke "Shadow Explorer"-verktøyet.
Merk følgende: Denne prosedyren fungerer bare på de nyeste operativsystemene (Windows 8, 7 og Vista) og bare hvis Systemgjenoppretting funksjonen var ikke tidligere deaktivert på den infiserte datamaskinen.
Metode 1: Hvordan gjenopprette Cryptowall-krypterte filer ved hjelp av funksjonen "Tidligere versjoner".
1. Naviger til mappen eller filen du vil gjenopprette i en tidligere tilstand og Høyreklikk på den.
2. Fra rullegardinmenyen velger du "Gjenopprett tidligere versjoner”. *
3. Velg deretter en bestemt versjon av mappen eller filen og trykk deretter på:
- “Åpen”-knappen for å vise innholdet i den mappen/filen.
- “Kopiere” for å kopiere denne mappen/filen til et annet sted på datamaskinen din (f.eks. den eksterne harddisken).
- “Restaurere” for å gjenopprette mappefilen til samme plassering og erstatte den eksisterende.
Metode 2: Hvordan gjenopprette Cryptowall-krypterte filer ved hjelp av "Shadow Explorer"-verktøyet.
ShadowExplorer, er en gratis erstatning for Tidligere versjoner funksjonen til Microsoft Windows Vista, 7 og 8 OS, og du kan bruke den til å gjenopprette tapte eller skadede filer fra Skyggekopier.
1. nedlasting ShadowExplorer nytte fra her. (Du kan enten laste ned ShadowExplorer installasjonsprogram eller Bærbar versjon av programmet).
2. Løpe ShadowExplorer og velg deretter datoen du vil gjenopprette skyggekopien av mappen/filene.
3. Naviger nå til mappen/filen du vil gjenopprette til forrige versjon, Høyreklikk på den og velg "Eksport”.
![ShadowExplorer eksport[5]](/f/8e61d7999dad12db5c469deb2ccff192.jpg "ShadowExplorer eksport[5]")
4. Til slutt spesifiser hvor skyggekopien av mappen/filen din skal eksporteres/lagres (f.eks. skrivebordet ditt) og trykk "OK”.
Lykke til!.
Hei, jeg ville også si takk! Jeg var i stand til å fjerne det ganske raskt av meg selv, Malwarebytes er alltid min vei til i disse tilfellene. Men filgjenopprettingen var vanskeligere. Ontrack og slike programmer fikk meg ingen vei (alle filer ble ødelagt) og tidligere versjoner fungerte heller ikke. Så fant jeg denne og prøvde shadow explorer! Det fungerte som en sjarm!
Heldigvis for meg ble den infiserte datamaskinen (mine mødre) oppdaget i løpet av timer fordi den begynte å rote med en delt Dropbox-mappe, som ga meldinger på datamaskinen min. Nå må jeg bare finne en måte å forhindre at programmer som dette roter med sikkerhetskopiene mine i Dropbox og Google Drive, nå som denne typen ting starter opp igjen. Hvis noen har noen ideer, vennligst gi meg beskjed!
Dette er den mest forferdelige opplevelsen man vil tåle, jeg ønsker ikke dette til min verste fiende, lykke til alle sammen, fortsett med innleggene, kanskje noen finner en løsning, vi håper og vi ber, jeg ble nettopp smittet selv og jeg leter etter en løsning, jeg er også på win Xp og vil legge ut på nytt hvis jeg finner noe nyttig. Takk alle sammen for hjelpen.
Kjære alle sammen,
For noen dager siden ble den bærbare datamaskinen min angrepet av viruset ovenfor, og jeg prøver nå å finne en løsning. Siden det siste innlegget ovenfor er datert 15. april, lurer jeg på om noen har kommet over noen annen løsning? Har noen prøvd prosedyren nevnt av Cal (dvs.
ta ut harddisken, sett den i en annen maskin som ekstern stasjon og kjør et filgjenopprettingsprogram)? Takk på forhånd.
Hei, jeg har samme virus, og jeg har ikke noe viktig på datamaskinen min, kan jeg bare installere nye Windows? Da er virus helt sikkert borte, ikke sant? Vennligst svar så snart som mulig, fordi internettoperatøren min blokkerer tilkoblingen min på grunn av det dumme viruset. Takk på forhånd :)
Fin artikkel, jeg fant følgende filgjenopprettingsløsning på et annet nettsted og vil vite om du har hørt om det og om det fungerer. Takk på forhånd! Cal
——————————————————————————————————–
Hva om du ikke har noen skyggekopier og ingen sikkerhetskopi av filene dine? Det er fortsatt en vei.
Som jeg sa, krypterer ikke Cryptowall de originale filene dine. Den vil ta en kopi av den, kryptere den og slette den originale filen.
Som du sikkert vet, kan en slettet fil gjenopprettes hvis ingenting er skrevet over den på disken din. Bra tror du slår av maskinen raskt etter infeksjonen!
Nå er alt du trenger å gjøre å ta ut harddisken, sette den i en annen maskin som ekstern stasjon, eller andre stasjon hvis du ikke har en sata-dokk, og kjøre et filgjenopprettingsprogram.
Jeg bruker Ontrack EasyRecovery eller R-Studio, eller til og med DataRescue for Mac.
Pro-versjonen av Ontrack EasyRecovery kan også være i stand til å gjenopprette filer fra en RAID-array hvis en av nettverksdelene dine er kryptert og du ikke har sikkerhetskopier.
Alle disse programmene vil kunne gjenopprette de originale filene som er slettet av Cryptowall.
Bare sørg for at når du kjører disse IKKE gjør det direkte på den originale maskinen, siden ved å skrive på den infiserte disken, kan programmet overskrive de slettede filene dine.
Du bør kunne gjenopprette 99% av filene dine ved å bruke denne metoden.
Jeg tror jeg plukket opp cryptowall-tingen for omtrent en måned siden, jeg la først merke til at jeg ikke kunne åpne filer og la deretter merke til decrypt_instruction.txt på skrivebordet. Uten å vite hva jeg vet nå, begynte jeg å slette alt som sa noe om å dekryptere... Jeg ble aldri henvist til BITCOIN-nettsideavtalen. Jeg har siden kjørt Malwarebvtes og Spyhunter, nå vil jeg prøve å gjenopprette noen av filene mine med denne Shadow Explorer... noen flere råd?? Takk!!