CryptoWall - еще один неприятный вирус-вымогатель, поражающий операционные системы Windows, и это обновленная версия Криптозащита вирус-вымогатель. Как хороший «ребенок», он сохраняет свои первоначальные способности, а также некоторые новые. CryptoWall шифрует все ваши файлы и держит их заблокированными, и их невозможно использовать, пока вы не заплатите требуемый выкуп. CryptoWall может шифровать все известные типы файлов (документы, PDF, фотографии, видео и т. д.) на всех подключенных накопителях или местах. Это означает, что он может заразить (зашифровать) все файлы на локальном или сетевом диске (ах) даже в облачных системах хранения (например, Google Drive, Dropbox, Box и т. Д.). Cryptowall делает это, добавляя надежное шифрование (RSA 2048) к каждому файлу. Проще говоря, вы больше не можете открывать свои файлы или работать с ними.
После Cryptowall заражение вирус создает несколько файлов в каждой зараженной папке с именем DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html, и DECRYPT_INSTRUCTION.url
которые содержат примечания о том, как заплатить выкуп, чтобы расшифровать зашифрованные файлы, выполнив определенную процедуру с использованием Интернет-браузер Tor.В Cryptowall ’выкуп установлен в размере 500 $ (в биткойнах), если вы заплатите его в установленный срок, в противном случае выкуп будет увеличен до 1000 $. После оплаты хакеры отправят вам ваш личный ключ дешифрования, который предположительно может расшифровать ваши файлы. Проблема в том, что даже если вы заплатите выкуп, вы не можете быть уверены, что ваши файлы будут восстановлены. Единственная гарантия состоит в том, что ваши деньги пойдут какому-то хакеру, который продолжит делать то же самое с другими жертвами.
Полный CryptoWall информационное сообщение выглядит следующим образом:
“
Что случилось с вашими файлами?
Все ваши файлы были защищены надежным шифрованием RSA-2048 с использованием CryptoWall.
Более подробную информацию о ключах шифрования с использованием RSA-2048 можно найти здесь: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Что это значит ?
Это означает, что структура и данные в ваших файлах были безвозвратно изменены, вы не сможете работать с ними, читать или видеть их,
это то же самое, что потерять их навсегда, но с нашей помощью вы можете их восстановить.
Как это произошло ?
Специально для вас на нашем сервере была сгенерирована секретная пара ключей RSA-2048 - публичный и приватный.
Все ваши файлы были зашифрованы открытым ключом, который был передан на ваш компьютер через Интернет.
Расшифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифрования, которая находится на нашем секретном сервере.
Что я делаю ?
Увы, если вы не примете необходимые меры в течение указанного времени, то условия получения приватного ключа будут изменены.
Если вы действительно цените свои данные, мы рекомендуем вам не тратить драгоценное время на поиск других решений, потому что их не существует.
Для получения более конкретных инструкций посетите свою личную домашнюю страницу, ниже есть несколько разных адресов, указывающих на вашу страницу:
1.https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2.https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3.https://kpa2i8ycr9jxqwilp.onion.to/xxxx
Если по каким-либо причинам адреса недоступны, выполните следующие действия:
1. Загрузите и установите tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресной строке: kpa2i8ycr9jxqwilp.onion/xxxx
4. Следуйте инструкциям на сайте.
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша личная страница: kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
Ваша личная страница (с использованием TOR): kpa2i8ycr9jxqwilp.onion/xxxx
Ваш личный идентификационный номер (если вы открываете сайт (или ТЗ) напрямую): xxxx
“
Как предотвратить заражение CryptoWall.
- Меры предосторожности - всегда самый безопасный способ сохранить ваш компьютер в целости и сохранности.
- Вы должны быть очень осторожны при открытии неизвестного сообщения электронной почты, особенно если такое сообщение электронной почты содержит поддельное уведомление (например, «Уведомление об исключении UPS») или прикрепленные файлы .EXE, .SCR или .ZIP.
- Вы должны быть осторожны с мошенническими сайтами, которые предлагают вам установить программное обеспечение, которое вам предположительно необходимо, и НЕ УСТАНАВЛИВАЙТЕ такое программное обеспечение.
- Лучший способ справиться со всеми типами вредоносных программ - всегда иметь чистый и как можно более свежий резервное копирование важных файлов, хранящихся на другом автономном (отключенном) носителе (например, на внешнем жестком диске USB, DVD-диске, и т.д.). Если вы это сделаете, вы можете сначала вылечить свой компьютер, а затем восстановить все файлы из чистой резервной копии.
Информация: Для этой задачи я использую надежное интеллектуальное и БЕСПЛАТНОЕ (для личного использования) программное обеспечение для резервного копирования под названием «SyncBackFree”. Подробная статья о том, как пользоваться SyncBackFree для резервного копирования важных файлов можно найти здесь. - Специалисты по корпоративным сетям могут использовать программное обеспечение для создания образов дисков (например, «Acronis True Image”) Для создания резервных копий образов состояний рабочих станций (или серверов) в запланированное время. Благодаря этому процесс восстановления становится намного проще и быстрее и ограничивается только объемом хранилища, доступным вам в процессе создания образа.
Как вернуть файлы после заражения Cryptowall.
К сожалению, БЕСПЛАТНЫЙ инструмент или метод дешифрования зашифрованных файлов Cryptowall НЕ СУЩЕСТВУЕТ (до того дня, когда была написана эта статья - в конце июня 2014 года). Итак, единственные варианты, которые вам нужно вернуть, следующие:
- Первый вариант - заплатить выкуп *. После этого вы получите от злоумышленников ваш личный инструмент для расшифровки ваших файлов.
* Примечание: Если вы решите заплатить выкуп, вы должны сделать это на свой страх и риск. Преступники - не самые надежные люди в мире. - Второй вариант - вылечить компьютер, а затем восстановить файлы из чистой резервной копии (если она у вас есть).
- Наконец, если у вас ОС Windows 8, 7 или Vista и значок «Восстановление системы»Функция не была отключена в вашей системе (например, после вирусной атаки), то после лечения вашей системы вы можете попытаться восстановить файлы в предыдущих версиях из«Теневые копии”. (См. Ниже в этой статье, как это сделать).
Как удалить вирус Cryptowall и восстановить файлы из теневых копий.
Часть 1. Как удалить Заражение Cryptowall.
Внимание : Если вы хотите удалитьCryptowall заражения с вашего компьютера, вы должны понимать, что ваши файлы останутся зашифрованными, даже если вы вылечите свой компьютер от этой неприятной вредоносной программы.
ЕЩЕ РАЗ:НЕ ПРОДОЛЖАЙТЕ УДАЛИТЬ КРИПТОВОЙ ВИРУС ПОКА НЕ:
У ВАС ЕСТЬ ЧИСТАЯ РЕЗЕРВНАЯ КОПИЯ ВАШИХ ФАЙЛОВ, СОХРАНЕННАЯ В ДРУГОМ МЕСТЕ (например, на отключенном переносном жестком диске).
или
ВАМ НЕ НУЖНЫ ЗАШИФРОВАННЫЕ ФАЙЛЫ, ПОТОМУ ЧТО ОНИ НЕ ТАК ВАЖНЫ.
или
ВЫ ХОТИТЕ ПОПЫТАТЬСЯ ВОССТАНОВИТЬ СВОИ ФАЙЛЫ, ИСПОЛЬЗУЯ ФУНКЦИЮ КОПИЙ ТЕНЕЙ (часть 2 этого поста).
Итак, если вы приняли окончательное решение, продолжайте, сначала удалите Cryptowall заражение вашего компьютера программами-вымогателями, а затем попытаться восстановить ваши файлы, выполнив следующую процедуру:
Шаг 1. Загрузите компьютер в «безопасном режиме с загрузкой сетевых драйверов».
Сделать это,
1. Выключите свой компьютер.
2.Запустите свой компьютер (Power On) и, когда ваш компьютер загружается, Нажмите "F8"перед появлением логотипа Windows.
3. Используя стрелки на клавиатуре, выберите "Безопасный режим с поддержкой сети"и нажмите" Enter ".
Шаг 2. Остановите и удалите запущенные процессы Cryptowall с помощью RogueKiller.
RogueKiller это программа защиты от вредоносных программ, предназначенная для обнаружения, остановки и удаления общих вредоносных программ и некоторых сложных угроз, таких как руткиты, мошенники, черви и т. д.
1.Скачать и спасти "RogueKiller"утилита на вашем компьютере" * (например, ваш рабочий стол)
Уведомление*: Скачать версия x86 или X64 в соответствии с версией вашей операционной системы. Чтобы узнать версию своей операционной системы, "Щелкните правой кнопкой мыши"на значке компьютера выберите"Характеристики"и посмотри на"Тип системы" раздел.
2.Двойной щелчок бежать RogueKiller.
3. Дождитесь завершения предварительного сканирования, затем прочтите и «Принимать»Условия лицензии.
4. Нажмите "Сканировать», Чтобы просканировать компьютер на наличие вредоносных угроз и вредоносных записей при запуске.
5. Наконец, когда полное сканирование будет завершено, нажмите кнопку "Удалить" кнопку, чтобы удалить все обнаруженные вредоносные объекты.
6. Закрывать “RogueKiller»И переходите к следующему шагу.
Шаг 3. Удалять Заражение Cryptowall с помощью Malwarebytes Anti-Malware Free.
Скачать и установить одна из самых надежных БЕСПЛАТНЫХ программ защиты от вредоносных программ на сегодняшний день, которая очищает ваш компьютер от оставшихся вредоносных угроз. Если вы хотите постоянно защищаться от существующих и будущих вредоносных программ, мы рекомендуем вам установить Malwarebytes Anti-Malware Premium:
Защита от Malwarebytes ™
Удаляет шпионское, рекламное и вредоносное ПО.
Начните бесплатную загрузку прямо сейчас!
Инструкции по быстрой загрузке и установке:
- После того, как вы нажмете указанную выше ссылку, нажмите «Начать бесплатную 14-пробную версию», Чтобы начать загрузку.
- Чтобы установить БЕСПЛАТНАЯ версия этого замечательного продукта снимите флажок "Включить бесплатную пробную версию Malwarebytes Anti-Malware Premium»На последнем экране установки.
Сканируйте и очищайте свой компьютер с помощью Malwarebytes Anti-Malware.
1. Бегать "Malwarebytes Anti-Malware " и разрешите программе обновиться до последней версии и вредоносной базы данных, если это необходимо.
2. Когда процесс обновления завершится, нажмите кнопку «Сканировать сейчас», Чтобы начать сканирование вашей системы на наличие вредоносных и нежелательных программ.
3. Теперь подождите, пока Malwarebytes Anti-Malware завершит сканирование вашего компьютера на наличие вредоносных программ.
4. Когда сканирование завершится, сначала нажмите кнопку «Поместить все в карантин», Чтобы удалить все обнаруженные угрозы.
5. Подождите, пока Malwarebytes Anti-Malware удалит все инфекции из вашей системы, а затем перезагрузите компьютер (если это требуется из программы), чтобы полностью удалить все активные угрозы.
6. После перезагрузки системы снова запустите Malwarebytes 'Anti-Malware чтобы убедиться, что в вашей системе не осталось других угроз.
Часть 2. Как восстановить зашифрованные файлы Cryptowall из теневых копий.
После того, как вы вылечили свой компьютер от Cryptowall вирус, то пора попытаться восстановить ваши файлы до их состояния до заражения. Для этого есть два (2) метода:
Способ 1: Восстановите зашифрованные файлы Cryptowall с помощью функции Windows «Восстановить предыдущие версии».
Способ 2: Восстановите зашифрованные файлы Cryptowall с помощью утилиты Shadow Explorer.
Внимание: Эта процедура работает только в последних операционных системах (Windows 8, 7 и Vista) и только в том случае, если Восстановление системы функция ранее не была отключена на зараженном компьютере.
Метод 1: Как восстановить зашифрованные файлы Cryptowall с помощью функции «Предыдущие версии».
1. Перейдите к папке или файлу, который вы хотите восстановить в предыдущем состоянии, и щелкните правой кнопкой мыши в теме.
2. В раскрывающемся меню выберите «Восстановить предыдущие версии”. *
3. Затем выберите конкретную версию папки или файла и нажмите:
- “Открытым», Чтобы просмотреть содержимое этой папки / файла.
- “Копировать”, Чтобы скопировать эту папку / файл в другое место на вашем компьютере (например, на внешний жесткий диск).
- “Восстановить”, Чтобы восстановить файл папки в то же место и заменить существующий.
Метод 2: Как восстановить зашифрованные файлы Cryptowall с помощью утилиты «Shadow Explorer».
ShadowExplorer, является бесплатной заменой Предыдущие версии функция ОС Microsoft Windows Vista, 7 и 8, и вы можете использовать ее для восстановления потерянных или поврежденных файлов из Теневые копии.
1. Скачать ShadowExplorer полезность от здесь. (Вы можете загрузить Установщик ShadowExplorer или Портативная версия программы).
2. Бегать ShadowExplorer служебную программу, а затем выберите дату, когда вы хотите восстановить теневую копию вашей папки / файлов.
3. Теперь перейдите к папке / файлу, который вы хотите восстановить до предыдущей версии, щелкните правой кнопкой мыши на нем и выберите «Экспорт”.
4. Наконец, укажите, где будет экспортирована / сохранена теневая копия вашей папки / файла (например, ваш рабочий стол), и нажмите «В ПОРЯДКЕ”.
Удачи!.
Привет, тоже хотел сказать спасибо! Мне удалось довольно быстро удалить его самостоятельно, в таких случаях я всегда могу обратиться к Malwarebytes. Но восстановление файла было сложнее. Ontrack и подобные программы ни к чему не привели (все файлы повреждены), и предыдущие версии тоже не работали. Потом я нашел это и попробовал shadow explorer! Это сработало как шарм!
К счастью для меня, зараженный компьютер (мои матери) был обнаружен в течение нескольких часов, потому что он начал возиться с общей папкой Dropbox, которая запрашивала сообщения на моем компьютере. Теперь мне просто нужно найти способ запретить таким программам вмешиваться в мои резервные копии в Dropbox и Google Диске, теперь, когда подобные вещи снова запускаются. Если у кого-то есть идеи, дайте мне знать!
Это самый ужасный опыт, который можно пережить, я не желаю этого своему злейшему врагу, удачи всем, продолжайте писать, может быть, кто-нибудь найдет решение, мы надеемся и молимся, я только что заразился и ищу решение, я тоже на win Xp и напишу повторно, если найду что-нибудь полезный. Спасибо всем за помощь.
Приветствую всех,
Несколько дней назад мой ноутбук был атакован указанным выше вирусом, и теперь я пытаюсь найти решение. Поскольку последний пост датирован 15 апреля, мне интересно, встречал ли кто-нибудь другое решение? Кто-нибудь пробовал процедуру, упомянутую Кэлом (т.е.
выньте жесткий диск, вставьте его в другую машину как внешний диск и запустите программу восстановления файлов)? Спасибо заранее.
Привет, у меня такой же вирус, и на моем компьютере нет ничего важного, могу я просто установить новую Windows? Чем вирус наверняка ушел, не так ли? Пожалуйста, ответьте как можно скорее, потому что мой интернет-оператор заблокировал мое соединение из-за этого глупого вируса. Заранее спасибо :)
Хорошая статья, я нашел следующее решение для восстановления файлов на другом веб-сайте и хочу знать, слышали ли вы о нем и работает ли оно. Заранее спасибо! Cal
——————————————————————————————————–
Что делать, если у вас нет теневых копий и резервных копий файлов? Еще есть способ.
Как я уже сказал, Cryptowall не шифрует ваши исходные файлы. Он скопирует его, зашифрует и удалит исходный файл.
Как вы, наверное, знаете, удаленный файл можно восстановить, если на вашем диске ничего не было записано поверх него. Хорошо, что вы быстро выключите машину вскоре после заражения!
Теперь все, что вам нужно сделать, это вынуть жесткий диск, вставить его на другой компьютер в качестве внешнего диска или второго диска, если у вас нет док-станции sata, и запустить программу восстановления файлов.
Я использую Ontrack EasyRecovery или R-Studio, или даже DataRescue для Mac.
Профессиональная версия Ontrack EasyRecovery также может восстанавливать файлы с RAID-массива, если один из ваших сетевых ресурсов зашифрован и у вас нет резервных копий.
Все эти программы смогут восстановить исходные файлы, удаленные Cryptowall.
Просто убедитесь, что при их запуске НЕ выполняйте это непосредственно на исходной машине, так как при записи на зараженный диск программа может перезаписать удаленные файлы.
Вы сможете восстановить 99% файлов с помощью этого метода.
Кажется, я познакомился с криптостеном около месяца назад, сначала я заметил, что не могу открывать файлы, а затем заметил на рабочем столе файл decrypt_instruction.txt. Не зная того, что я знаю сейчас, я просто начал удалять все, что говорило что-нибудь о расшифровке… Меня никогда не перенаправляли на сделку с веб-страницей BITCOIN. С тех пор я запустил Malwarebvtes и Spyhunter, теперь я хочу попытаться восстановить некоторые из моих файлов с помощью этого Shadow Explorer… какие-нибудь дополнительные советы?? Спасибо!!