Kako odstraniti virus CryptoWall in obnoviti datoteke

MiscellaneaDec 19, 2021
click fraud protection

CryptoWall je še en neprijeten virus izsiljevalske programske opreme, ki okuži operacijske sisteme Windows in gre za posodobljeno različico CryptoDefence ransomware virus. Kot dober 'otrok' ohranja svoje prvotne sposobnosti, pa tudi nekaj novih. CryptoWall šifrira vse vaše datoteke in jih ohranja zaklenjene in jih ni mogoče uporabiti, dokler ne plačate zahtevane odkupnine. CryptoWall lahko šifrira vse znane vrste datotek (dokumente, PDF, fotografije, videoposnetke in drugo) na vseh povezanih shranjevalnih pogonih ali lokacijah. To pomeni, da lahko okuži (šifrira) vse datoteke na lokalnem ali omrežnem(-ih) pogonu(-ih), tudi v sistemih za shranjevanje v oblaku (npr. Google Drive, Dropbox, Box itd.). Cryptowall to stori tako, da vsaki datoteki doda močno šifriranje (RSA 2048). Z enostavnimi besedami ne morete več odpreti – ali delati – svojih datotek.

Po Cryptowall okužbe, virus ustvari več datotek v vsaki okuženi mapi z imenom DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html, in DECRYPT_INSTRUCTION.url

ki vsebujejo opombe o tem, kako plačati odkupnino za dešifriranje šifriranih datotek po posebnem postopku z uporabo Internetni brskalnik Tor.

The Cryptowall's odkupnina je nastavljena na 500 $ (v BitCoin), če jo plačate v roku, sicer se bo odkupnina povečala na 1000 $. Po plačilu vam bodo hekerji poslali vaš zasebni ključ za dešifriranje, ki lahko – domnevno – dešifrira vaše datoteke. Težava je v tem, da tudi če plačate odkupnino, ne morete biti prepričani, da bodo vaše datoteke obnovljene. Edino zagotovilo je, da bo vaš denar šel nekemu hekerju, ki bo še naprej delal isto stvar drugim žrtvam.

muqrewlq

Polno CryptoWall informativno sporočilo je naslednje:

Kaj se je zgodilo z vašimi datotekami?
Vse vaše datoteke so bile zaščitene z močnim šifriranjem z RSA-2048 z uporabo CryptoWall.
Več informacij o šifrirnih ključih, ki uporabljajo RSA-2048, najdete tukaj: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

Kaj to pomeni ?
To pomeni, da so se struktura in podatki v vaših datotekah nepreklicno spremenili, z njimi ne boste mogli delati, jih brati ali videti,
to je isto kot če jih za vedno izgubite, vendar jih lahko z našo pomočjo obnovite.

Kako se je to zgodilo?
Posebej za vas je bil na našem strežniku ustvarjen par skrivnih ključev RSA-2048 – javni in zasebni.
Vse vaše datoteke so bile šifrirane z javnim ključem, ki je bil prenesen na vaš računalnik prek interneta.
Dešifriranje vaših datotek je možno le s pomočjo zasebnega ključa in programa za dešifriranje, ki je na našem tajnem strežniku.

Kaj naj naredim ?
Žal, če v določenem času ne boste sprejeli potrebnih ukrepov, se bodo pogoji za pridobitev zasebnega ključa spremenili.
Če resnično cenite svoje podatke, vam predlagamo, da ne izgubljate dragocenega časa z iskanjem drugih rešitev, ker ne obstajajo.

Za natančnejša navodila obiščite svojo osebno domačo stran, na spodnji strani je nekaj različnih naslovov:
1.https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2.https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3.https://kpa2i8ycr9jxqwilp.onion.to/xxxx

Če iz nekaterih razlogov naslovi niso na voljo, sledite tem korakom:
1. Prenesite in namestite brskalnik tor: http://www.torproject.org/projects/torbrowser.html.en
2. Po uspešni namestitvi zaženite brskalnik in počakajte na inicializacijo.
3. V naslovno vrstico vnesite: kpa2i8ycr9jxqwilp.onion/xxxx
4. Sledite navodilom na spletnem mestu.

POMEMBNA INFORMACIJA:
Vaša osebna stran: kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
Vaša osebna stran (z uporabo TOR): kpa2i8ycr9jxqwilp.onion/xxxx
Vaša osebna identifikacijska številka (če odprete spletno mesto (ali TOR) neposredno): xxxx

Kako preprečiti okužbo s CryptoWall.

  • Previdnost je vedno najvarnejši način, da vaš računalnik ostane nepoškodovan.
  • Ko odprete neznano e-pošto, morate biti zelo previdni, še posebej, če takšno e-poštno sporočilo vsebuje ponarejeno obvestilo (npr. 'Obvestilo o izjemah UPS') ali priloge datoteke .EXE, .SCR ali .ZIP.
  • Previdni morate biti na spletnih mestih za prevare, ki vas pozivajo k namestitvi programske opreme, ki jo domnevno potrebujete, in NE NASTAVLJAJTE te programske opreme.
  • Najboljši način za spopadanje z vsemi vrstami okužb z zlonamerno programsko opremo je vedno čista in čim novejša varnostno kopiranje vaših pomembnih datotek, shranjenih na drugem mediju OFFLINE (nepriključen) (npr. zunanji USB trdi disk, DVD ROM, itd.). Če to storite, lahko najprej razkužite računalnik in nato obnovite vse datoteke iz čiste varnostne kopije.
    info: Za to nalogo uporabljam zanesljivo pametno in BREZPLAČNO (za osebno uporabo) programsko opremo za varnostno kopiranje, imenovano »SyncBackFree”. Podroben članek o uporabi SyncBackFree za varnostno kopiranje vaših pomembnih datotek lahko najdete tukaj.
  • Tehniki za korporativno omrežje lahko uporabljajo programsko opremo za slikanje diska (npr.Acronis True Image”) za izdelavo varnostnih kopij slik stanja delovnih postaj (ali strežnikov) ob načrtovanih časih. S tem je postopek obnovitve veliko lažji in hitrejši in je omejen le na prostor za shranjevanje, ki ga imate na voljo v postopku slikanja.

Kako vrniti svoje datoteke po okužbi s Cryptowall.

Žal BREZPLAČNO orodje ali metoda za dešifriranje šifriranih datotek Cryptowall NE OBSTAJA (do dneva, ko je bil ta članek napisan – konec junija 2014). Torej so edine možnosti, ki jih imate za vrnitev datotek, naslednje:

  1. Prva možnost je plačilo odkupnine*. Po tem boste od kriminalcev prejeli vaše zasebno orodje za dešifriranje za dešifriranje vaših datotek.
    * Opomba: Če se odločite plačati odkupnino, morate to storiti na lastno odgovornost. Kriminalci niso najbolj zaupanja vredni ljudje na svetu.
  2. Druga možnost je, da razkužite računalnik in nato obnovite datoteke iz čiste varnostne kopije (če jo imate).
  3. Končno, če imate operacijski sistem Windows 8, 7 ali Vista in »Obnovitev sistema” funkcija ni bila onemogočena v vašem sistemu (npr. po napadu virusa), potem lahko po razkuževanju sistema poskusite obnoviti datoteke v prejšnjih različicah iz “Senčne kopije”. (Glejte spodaj v tem članku, kako to storiti).

Kako odstraniti virus Cryptowall in obnoviti datoteke iz Shadow Copies.

1. del. Kako odstraniti Okužba s kriptozidom.

Pozor: Če želite odstranitiCryptowall okužbe iz vašega računalnika, se morate zavedati, da bodo vaše datoteke ostale šifrirane, tudi če svoj računalnik razkužite s to neprijetno zlonamerno programsko opremo.

ŠE ENKRAT:NE NADALJUJTE ODSTRANITI VIRUS CRYPTOWALL RAZEN:

IMATE ČISTO VARNOSTNO KOPIJO SVOJIH DATOTEK, SHRANJENO NA DRUGEGA MESTA (na primer odklopljen prenosni trdi disk.)

oz

ŠIFIRANIH DATOTEK NE POTREBUJETE, KER VAS NISO TAKO POMEMBNE.

oz

ŽELITE POSKUSITI OBNOVITI VAŠE DATOTEKE S FUNKCIJO SENČNE KOPIJE (2. del te objave).

Torej, če ste sprejeli končno odločitev, nadaljujte, najprej odstranite Cryptowall okužbo z ransomware iz vašega računalnika in nato poskusite obnoviti svoje datoteke po naslednjem postopku:

1. korak: Zaženite računalnik v "Varnem načinu z omrežjem"

Storiti to,

1. Izklopite računalnik.

2.Zaženite računalnik (vklop) in ko se vaš računalnik zažene, pritisnite "F8", preden se prikaže logotip Windows.

3. S puščicami na tipkovnici izberite "Varni način z omrežjem" in pritisnite "Enter".

varni-način-z-omrežnim_thumb1_thu[1]

2. korak. Z RogueKillerjem ustavite in izbrišite teče procese Cryptowall.

RogueKiller je program za boj proti zlonamerni programski opremi, zasnovan za odkrivanje, zaustavitev in odstranjevanje splošne zlonamerne programske opreme in nekaterih naprednih groženj, kot so rootkiti, prevaranti, črvi itd.

1.Prenesi in shraniti "RogueKiller" pripomoček na vašem računalniku"* (npr. na namizju)

Opaziti*: Prenesi različica x86 oz X64 glede na različico vašega operacijskega sistema. Če želite najti različico svojega operacijskega sistema, "Desni klik"na ikoni računalnika izberite"Lastnosti"in poglej"Vrsta sistema" oddelek.

image_thumb_thumb

2.Dvojni klik teči RogueKiller.

image_thumb21_thumb

3. Počakajte, da se predhodno skeniranje zaključi, nato preberite in »Sprejmi« licenčni pogoji.

xinzx0zr_thumb2_thumb11_thumb

4. Pritisnite "Skeniraj” za skeniranje vašega računalnika glede zlonamernih groženj in zlonamernih zagonskih vnosov.

t4ydfgeg_thumb2_thumb1_thumb

5. Na koncu, ko je celotno skeniranje končano, pritisnite "Izbriši" gumb za odstranitev vseh najdenih zlonamernih elementov.

image_thumb9_thumb_thumb

6. ZapriRogueKiller« in nadaljujte z naslednjim korakom.

3. korak. Odstrani Okužba s Cryptowall z Malwarebytes Anti-Malware Free.

Prenesi in namestite eden najbolj zanesljivih BREZPLAČNIH programov za preprečevanje zlonamerne programske opreme danes za čiščenje vašega računalnika pred preostalimi zlonamernimi grožnjami. Če želite biti nenehno zaščiteni pred grožnjami zlonamerne programske opreme, obstoječimi in prihodnjimi, vam priporočamo, da namestite Malwarebytes Anti-Malware Premium:

Malwarebytes™ zaščita
Odstrani vohunsko, oglasno in zlonamerno programsko opremo.
Začnite svoj brezplačen prenos zdaj!

Navodila za hiter prenos in namestitev:

  • Ko kliknete zgornjo povezavo, pritisnite na "Začnite mojo brezplačno 14-preizkusno različico” možnost za začetek prenosa.
malwarebytes-downlaod_thumb1_thumb2_[1]
  • Za namestitev BREZPLAČNA različica tega čudovitega izdelka, počistite polje »Omogočite brezplačno preskusno različico Malwarebytes Anti-Malware Premium” možnost na zadnjem namestitvenem zaslonu.
malwarebytes-anti-malware-free-insta[2]

Skenirajte in očistite računalnik s programom Malwarebytes Anti-Malware.

1. teci "Malwarebytes Anti-Malware" in dovolite programu, da se po potrebi posodobi na najnovejšo različico in zlonamerno bazo podatkov.

update-malwarebytes-anti-malware_thu[1]

2. Ko je postopek posodabljanja končan, pritisnite "Skeniranje zdaj”, da začnete pregledovati vaš sistem za zlonamerno programsko opremo in neželene programe.

start-scan-malwarebytes-anti-malware[2]

3. Zdaj počakajte, da Malwarebytes Anti-Malware konča skeniranje vašega računalnika glede zlonamerne programske opreme.

malwarebytes-scan_thumb1_thumb_thumb

4. Ko je skeniranje končano, najprej pritisnite "Karantena vse”, da odstranite vse najdene grožnje.

slika

5. Počakajte, da Malwarebytes Anti-Malware odstrani vse okužbe iz vašega sistema in nato znova zaženite računalnik (če je to potrebno iz programa), da popolnoma odstranite vse aktivne grožnje.

wwrq1ctw_thumb1_thumb_thumb_thumb_th[2]

6. Po ponovnem zagonu sistema, znova zaženite Malwarebytes' Anti-Malware da preverite, ali v vašem sistemu ni več drugih groženj.

2. del. Kako obnoviti šifrirane datoteke Cryptowall iz senčnih kopij.

Ko ste razkužili računalnik iz Cryptowall virus, potem je čas, da poskusite svoje datoteke obnoviti nazaj v stanje pred okužbo. Za to obstajata dva (2) načina:

1. metoda: Obnovite šifrirane datoteke Cryptowall s funkcijo Windows »Obnovi prejšnje različice«.

2. metoda: Obnovite šifrirane datoteke Cryptowall s pripomočkom »Shadow Explorer«.

Pozor: Ta postopek deluje samo v najnovejših operacijskih sistemih (Windows 8, 7 in Vista) in samo, če je Obnovitev sistema funkcija ni bila prej onemogočena v okuženem računalniku.

1. način: Kako obnoviti šifrirane datoteke Cryptowall s funkcijo »Prejšnje različice«.

1. Pomaknite se do mape ali datoteke, ki jo želite obnoviti v prejšnje stanje in desni klik na njem.

2. V spustnem meniju izberite »Obnovi prejšnje različice”. *

obnovi prejšnje različice

3. Nato izberite določeno različico mape ali datoteke in pritisnite:

  • Odprto” za ogled vsebine te mape/datoteke.
  • Kopirati«, da kopirate to mapo/datoteko na drugo mesto v vašem računalniku (npr. na zunanji trdi disk).
  • Obnovi«, da obnovite datoteko mape na isto mesto in zamenjate obstoječo.

prejšnja različica mape

Metoda 2: Kako obnoviti šifrirane datoteke Cryptowall s pripomočkom »Shadow Explorer«.

ShadowExplorer, je brezplačna zamenjava za Prejšnje različice funkcijo operacijskega sistema Microsoft Windows Vista, 7 in 8 in jo lahko uporabite za obnovitev izgubljenih ali poškodovanih datotek iz Senčne kopije.

1. Prenesi ShadowExplorer uporabnost iz tukaj. (Lahko prenesete Namestitveni program ShadowExplorer ali Prenosna različica programa).

2. teci ShadowExplorer pripomoček in nato izberite datum, ko želite obnoviti senčno kopijo vaše mape/datotek.

ShadowExplorer

3. Zdaj se pomaknite do mape/datoteke, ki jo želite obnoviti na prejšnjo različico, desni klik na njem in izberite "Izvozi”.

Izvoz ShadowExplorer[5]

4. Končno določite, kam bo senčna kopija vaše mape/datoteke izvožena/shranjena (npr. vaše namizje) in pritisnite “v redu”.

izvozna lokacija raziskovalca sen

Vso srečo!.

Živjo, tudi jaz sem se želel zahvaliti! Precej hitro sem ga lahko odstranil sam, v teh primerih vedno grem na Malwarebytes. Toda obnovitev datoteke je bila težja. Ontrack in podobni programi me niso pripeljali nikamor (vse datoteke so poškodovane) in tudi prejšnje različice niso delovale. Potem sem našel to in preizkusil senčni raziskovalec! To je delovalo kot čar!

Na mojo srečo je bil okuženi računalnik (moje matere) zaznan v nekaj urah, ker se je začel motiti s skupno mapo Dropbox, kar je sprožilo sporočila v mojem računalniku. Zdaj moram samo najti način, da preprečim, da bi programi, kot je ta, motili moje varnostne kopije v Dropboxu in Google Driveu, zdaj, ko se ta vrsta stvari znova zažene. Če ima kdo kakšno idejo naj mi prosim sporoči!

To je najbolj grozna izkušnja, ki jo bo človek preživel, tega ne želim svojemu najhujšemu sovražniku, vso srečo vsem, objavljajte se še naprej, mogoče bo kdo našel rešitev, upamo in molimo, pravkar sem se okužil in iščem rešitev, sem tudi na win Xp in bom ponovno objavil, če kaj najdem uporabno. Hvala vsem za pomoč.

Spoštovani,

Pred nekaj dnevi je moj prenosnik napadel zgornji virus in zdaj poskušam najti rešitev. Ker je zadnja objava zgoraj z datumom 15. april, me zanima, če je kdo naletel na kakšno drugo rešitev? Je kdo poskusil postopek, ki ga je omenil Cal (tj.
vzemite trdi disk ven, ga vstavite v drugo napravo kot zunanji disk in zaženite program za obnovitev datotek)? Že vnaprej se vam zahvaljujem.

Živjo, imam isti virus in v računalniku nimam ničesar pomembnega, ali lahko samo namestim nov Windows? Potem je virus zagotovo izginil, kajne? Prosim za čimprejšnji odgovor, ker moj internetni operater blokira mojo povezavo zaradi tega neumnega virusa. Hvala v naprej :)

Lep članek, na drugem spletnem mestu sem našel naslednjo rešitev za obnovitev datotek in želim vedeti, ali ste že slišali zanjo in ali deluje. Hvala vnaprej! Cal

——————————————————————————————————–
Kaj pa, če nimate senčnih kopij in varnostnih kopij datotek? Še vedno obstaja pot.
Kot sem rekel, Cryptowall ne šifrira vaših izvirnih datotek. Naredil bo njegovo kopijo, šifriral in izbrisal izvirno datoteko.

Kot verjetno veste, je izbrisano datoteko mogoče obnoviti, če na vašem disku ni nič zapisano. Dobro je, da hitro izklopite stroj kmalu po okužbi!

Zdaj morate samo vzeti trdi disk, ga vstaviti v drugo napravo kot zunanji pogon ali drugi pogon, če nimate sata doka, zagnati program za obnovitev datotek.

Uporabljam Ontrack EasyRecovery ali R-Studio ali celo DataRescue za Mac.
Pro različica Ontrack EasyRecovery bi lahko tudi obnovila datoteke iz matrike RAID, če je ena od vaših omrežnih skupnih zbirk šifrirana in nimate varnostnih kopij.

Vsi ti programi bodo lahko obnovili izvirne datoteke, ki jih je Cryptowall izbrisal.

Ko jih zaženete, pazite, da tega NE počnete neposredno na originalnem računalniku, saj bi program lahko prepisal izbrisane datoteke s pisanjem na vaš okuženi disk.

S to metodo bi morali biti sposobni obnoviti 99 % svojih datotek.

Mislim, da sem vzel zadevo cryptowall pred približno mesecem dni, najprej sem opazil, da ne morem odpreti datotek, nato pa sem na namizju opazil decrypt_instruction.txt. Ker ne vem, kaj zdaj vem, sem pravkar začel brisati vse, kar je pisalo karkoli o dešifriranju... Nikoli nisem bil usmerjen na spletno stran BITCOIN. Od takrat sem zagnal Malwarebvtes in Spyhunter, zdaj pa želim poskusiti obnoviti nekaj svojih datotek s tem Shadow Explorerjem... še kakšen nasvet?? Hvala!!