ЦриптоВалл је још један гадан вирус рансомваре који инфицира Виндовс оперативне системе и то је ажурирана верзија ЦриптоДефенсе рансомваре вирус. Као добро „дете“, оно задржава своје првобитне способности, али и неке нове. ЦриптоВалл шифрује све ваше датотеке и држи их закључанима и нема начина да их користите док не платите тражену откупнину. ЦриптоВалл може да шифрује све познате типове датотека (документе, ПДФ, фотографије, видео записе и још много тога) на свим повезаним дисковима или локацијама за складиштење. То значи да може да зарази (шифрује) све датотеке на локалном или мрежном диску(овима), чак и у системима за складиштење у облаку (нпр. Гоогле Дриве, Дропбок, Бок, итд.). Цриптовалл то чини додавањем јаког шифровања (РСА 2048) на сваку датотеку. Једноставним речима, више не можете да отварате – нити радите са – своје датотеке.
После Цриптовалл инфекције, вирус креира неколико датотека у свакој зараженој фасцикли под називом ДЕЦРИПТ_ИНСТРУЦТИОН.ткт, ДЕЦРИПТ_ИНСТРУЦТИОН.хтмл, и
ДЕЦРИПТ_ИНСТРУЦТИОН.урл које садрже напомене о томе како платити откупнину да би се дешифровале шифроване датотеке пратећи одређену процедуру користећи Тор Интернет претраживач.Тхе Цриптовалл'Откупнина је подешена на 500$ (у биткоинима), ако је платите у року, иначе ће откуп бити повећан на 1000$. Након уплате, хакери ће вам послати ваш приватни кључ за дешифровање који може – наводно – дешифровати ваше датотеке. Проблем је у томе што чак и ако платите откупнину, не можете бити сигурни да ће ваше датотеке бити враћене. Једина гаранција је да ће ваш новац отићи неком хакеру који ће наставити да ради исту ствар другим жртвама.
У потпуности ЦриптоВалл информативна порука је следећа:
“
Шта се десило са вашим фајловима?
Све ваше датотеке су заштићене снажном енкрипцијом помоћу РСА-2048 помоћу ЦриптоВалл-а.
Више информација о кључевима за шифровање помоћу РСА-2048 можете пронаћи овде: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Шта ово значи ?
То значи да су структура и подаци у вашим датотекама неопозиво промењени, нећете моћи да радите са њима, да их читате или видите,
то је исто као да их заувек изгубите, али уз нашу помоћ можете их вратити.
Како се то догодило ?
Посебно за вас, на нашем серверу је генерисан пар тајних кључева РСА-2048 – јавни и приватни.
Све ваше датотеке су шифроване јавним кључем, који је преко Интернета пренет на ваш рачунар.
Дешифровање ваших фајлова је могуће само уз помоћ приватног кључа и програма за дешифровање, који се налази на нашем тајном серверу.
Шта да радим ?
Авај, ако не предузмете потребне мере за наведено време онда ће услови за добијање приватног кључа бити промењени.
Ако заиста цените своје податке, онда вам предлажемо да не губите драгоцено време тражећи друга решења јер она не постоје.
За детаљнија упутства посетите своју личну почетну страницу, постоји неколико различитих адреса које упућују на вашу страницу у наставку:
1.https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2.https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3.https://kpa2i8ycr9jxqwilp.onion.to/xxxx
Ако из неког разлога адресе нису доступне, следите ове кораке:
1. Преузмите и инсталирајте тор-бровсер: http://www.torproject.org/projects/torbrowser.html.en
2. Након успешне инсталације, покрените претраживач и сачекајте иницијализацију.
3.Унесите у траку за адресу: кпа2и8ицр9јкквилп.онион/кккк
4. Пратите упутства на сајту.
ВАЖНА ИНФОРМАЦИЈА:
Ваша лична страница: кпа2и8ицр9јкквилп.торекплорер.цом/xxxx
Ваша лична страница (користећи ТОР): кпа2и8ицр9јкквилп.онион/кккк
Ваш лични идентификациони број (ако отворите сајт (или ТОР) директно): кккк
“
Како спречити инфекцију ЦриптоВалл-а.
- Мера предострожности је увек најсигурнији начин да ваш рачунар остане неповређен.
- Морате бити веома опрезни кад год отворите непознату е-пошту, посебно ако таква е-порука садржи лажно обавештење (нпр. „Обавештење о изузетку УПС-а“) или прилоге .ЕКСЕ, .СЦР или .ЗИП датотеке.
- Морате бити пажљиви на сајтовима за преваре који од вас траже да инсталирате софтвер који вам је наводно потребан и НЕ ИНСТАЛИРАТЕ такав софтвер.
- Најбољи начин да се носите са свим врстама инфекција злонамерним софтвером је да увек имате чист и што је новији резервне копије ваших важних датотека ускладиштених на другом ОФФЛИНЕ (искљученом) медију (нпр. екстерни УСБ ХДД, ДВД РОМ, итд.). Ако то урадите, прво можете да дезинфикујете рачунар, а затим да вратите све своје датотеке из чисте резервне копије.
Инфо: За овај задатак користим поуздан паметан и БЕСПЛАТАН (за личну употребу) софтвер за прављење резервних копија под називом „СинцБацкФрее”. Детаљан чланак о томе како се користи СинцБацкФрее да бисте направили резервну копију важних датотека овде. - Техничари за корпоративну мрежу могу да користе софтвер за снимање диска (као што је „Ацронис Труе Имаге”) да направите резервне копије слика стања радних станица (или сервера) у заказано време. Радећи то, процес враћања је много лакши и бржи и ограничен је само на складишни простор који вам је доступан у процесу снимања слике.
Како да вратите своје датотеке након инфекције Цриптовалл-ом.
Нажалост, БЕСПЛАТНА алатка или метод за дешифровање шифрованих датотека Цриптовалл НЕ ПОСТОЈИ (до дана писања овог чланка – крајем јуна 2014). Дакле, једине опције које имате да вратите своје датотеке су следеће:
- Прва опција је да платите откуп*. Након тога, од криминалаца ћете добити ваш приватни алат за дешифровање за дешифровање ваших датотека.
* Белешка: Ако одлучите да платите откуп, то морате учинити на сопствену одговорност. Криминалци нису људи од највећег поверења на свету. - Друга опција је да дезинфикујете рачунар, а затим да вратите своје датотеке из чисте резервне копије (у случају да је имате).
- Коначно, ако имате Виндовс 8, 7 или Виста ОС и „Систем Ресторе” функција није била онемогућена на вашем систему (нпр. након напада вирусом), а затим након дезинфекције система можете покушати да вратите своје датотеке у претходне верзије са “Схадов Цопиес”. (Погледајте доле у овом чланку о томе како то учинити).
Како уклонити Цриптовалл вирус и вратити своје датотеке из Схадов Цопиес-а.
Део 1. Како уклонити Цриптовалл инфекција.
пажња : Ако желите да уклонитеЦриптовалл инфекције са вашег рачунара, морате схватити да ће ваше датотеке остати шифроване, чак и ако дезинфикујете свој рачунар од овог гадног малвера.
ЈОШ ЈЕДНОМ:НЕ НАСТАВЉАЈТЕ ДА УКЛАЊАТЕ ВИРУС ЦРИПТОВАЛЛ ОСИМ АКО:
ИМАТЕ ЧИСТУ РЕЗЕРВНУ КОПИЈУ СВОЈИХ ДАТОТЕКА НА ДРУГОМ МЕСТУ (попут искљученог преносивог хард диска.)
или
НЕ ТРЕБАЈУ ВАМ ШИФРОВАНЕ ДАТОТЕКЕ ЈЕР ВАМ НИСУ ТАКО ВАЖНЕ.
или
ЖЕЛИТЕ ДА ПОКУШАТЕ ДА ВРАТИ ВАШЕ ДАТОТЕКЕ ПОМОЋУ ФУНКЦИЈЕ СЕНСКИХ КОПИЈА (2. део овог поста).
Дакле, ако сте донели коначну одлуку, наставите, прво да уклоните Цриптовалл рансомваре инфекција са вашег рачунара, а затим да покушате да вратите своје датотеке пратећи процедуру у наставку:
Корак 1: Покрените рачунар у „безбедном режиму са умрежавањем“
Да уради ово,
1. Искључите рачунар.
2.Покрените рачунар (Укључено) и, док се рачунар покреће, притисните тхе "Ф8" тастер пре него што се појави Виндовс логотип.
3. Помоћу стрелица на тастатури изаберите „Безбедни режим са умрежавања" опцију и притисните "Ентер".
Корак 2. Зауставите и избришите покренуте Цриптовалл процесе помоћу РогуеКиллер-а.
РогуеКиллер је програм против злонамерног софтвера дизајниран за откривање, заустављање и уклањање генеричких малвера и неких напредних претњи као што су руткитови, лопови, црви итд.
1.Преузимање и сачувати "РогуеКиллер" услужни програм на вашем рачунару"* (нпр. ваш десктоп)
Објава*: Преузимање верзија к86 или Кс64 према верзији вашег оперативног система. Да бисте пронашли верзију свог оперативног система, "Десни клик„на икони рачунара изаберите „Својства"и погледај"Тип система„ одељак.
2.Дупли клик трчати РогуеКиллер.
3. Сачекајте док се претходно скенирање не заврши, а затим прочитајте и „Прихвати” услови лиценце.
4. Притисните "Скенирај” да бисте скенирали ваш рачунар у потрази за злонамерним претњама и злонамерним уносима при покретању.
5. На крају, када је комплетно скенирање завршено, притисните "Избриши" дугме да бисте уклонили све пронађене злонамерне ставке.
6. Близу “РогуеКиллер” и наставите на следећи корак.
Корак 3. Уклони Цриптовалл инфекција са Малваребитес Анти-Малваре Фрее.
Преузимање и инсталирај један од најпоузданијих БЕСПЛАТНИХ анти-малвер програма данас за чишћење вашег рачунара од преосталих злонамерних претњи. Ако желите да будете стално заштићени од претњи малвера, постојећих и будућих, препоручујемо вам да инсталирате Малваребитес Анти-Малваре Премиум:
Малваребитес™ заштита
Уклања шпијунски софтвер, рекламни софтвер и злонамерни софтвер.
Започните бесплатно преузимање одмах!
Упутства за брзо преузимање и инсталацију:
- Након што кликнете на горњу везу, притисните на „Започните мој бесплатни пробни период од 14” опција за почетак преузимања.
- Да бисте инсталирали БЕСПЛАТНА верзија овог невероватног производа, поништите избор „Омогућите бесплатну пробну верзију Малваребитес Анти-Малваре Премиум” опција на последњем екрану за инсталацију.
Скенирајте и очистите рачунар помоћу Малваребитес Анти-Малваре.
1. Трцати "Малваребитес Анти-Малваре" и дозволите програму да се ажурира на најновију верзију и злонамерну базу података ако је потребно.
2. Када се процес ажурирања заврши, притисните „Скенирај одмах” да бисте започели скенирање вашег система у потрази за малвером и нежељеним програмима.
3. Сада сачекајте док Малваребитес Анти-Малваре не заврши скенирање вашег рачунара у потрази за малвером.
4. Када се скенирање заврши, прво притисните „Карантин Све” да бисте уклонили све пронађене претње.
5. Сачекајте док Малваребитес Анти-Малваре не уклони све инфекције са вашег система, а затим поново покрените рачунар (ако је потребно из програма) да бисте у потпуности уклонили све активне претње.
6. Након што се систем поново покрене, поново покрените Малваребитес' Анти-Малваре да бисте проверили да у вашем систему нема других претњи.
Део 2. Како вратити шифроване датотеке Цриптовалл-а из Схадов копија.
Након што сте дезинфиковали рачунар од Цриптовалл вируса, онда је време да покушате да вратите своје датотеке у стање пре инфекције. Постоје два (2) начина да то урадите:
Метод 1: Вратите шифроване датотеке Цриптовалл-а користећи функцију Виндовс „Врати претходне верзије“.
Метод 2: Вратите шифроване датотеке Цриптовалл-а помоћу услужног програма „Схадов Екплорер“.
пажња: Ова процедура ради само на најновијим оперативним системима (Виндовс 8, 7 и Виста) и само ако Систем Ресторе функција раније није била онемогућена на зараженом рачунару.
Метод 1: Како да вратите шифроване датотеке Цриптовалл користећи функцију „Претходне верзије“.
1. Идите до фасцикле или датотеке коју желите да вратите у претходно стање и десни клик бацам се на посао.
2. Из падајућег менија изаберите „Поврати претходне верзије”. *
3. Затим изаберите одређену верзију фасцикле или датотеке, а затим притисните:
- “Отвори” да бисте видели садржај те фасцикле/датотеке.
- “Копирај” да копирате ову фасциклу/датотеку на другу локацију на вашем рачунару (нпр. ваш спољни чврсти диск).
- “Ресторе” да бисте вратили датотеку фасцикле на исту локацију и заменили постојећу.
Метод 2: Како да вратите шифроване датотеке Цриптовалл користећи услужни програм „Схадов Екплорер“.
СхадовЕкплорер, је бесплатна замена за Претходне верзије функцију оперативног система Мицрософт Виндовс Виста, 7 и 8 и можете је користити за враћање изгубљених или оштећених датотека са Схадов Цопиес.
1. Преузимање СхадовЕкплорер корисност из овде. (Можете или преузети СхадовЕкплорер инсталатер или Портабл верзија програма).
2. Трцати СхадовЕкплорер услужни програм, а затим изаберите датум када желите да вратите сенку копију своје фасцикле/датотека.
3. Сада идите до фасцикле/датотеке коју желите да вратите на претходну верзију, десни клик на њему и изаберите „Извоз”.
4. Коначно одредите где ће копија у сенци ваше фасцикле/датотеке бити извезена/сачувана (нпр. ваша радна површина) и притисните „ок”.
Срећно!.
Здраво, и ја сам хтео да вам се захвалим! Успео сам да га уклоним прилично брзо сам, Малваребитес ми је увек у тим случајевима. Али опоравак датотеке је био тежи. Онтрацк и такви програми нису ме довели никуда (сви фајлови су оштећени), а ни претходне верзије нису радиле. Онда сам пронашао ово и испробао истраживач сенки! То је деловало као шарм!
На моју срећу, заражени рачунар (моје мајке) је откривен у року од неколико сати јер је почео да се петља са дељеном фасциклом Дропбок, што је изазвало поруке на мом рачунару. Сада само треба да пронађем начин да спречим овакве програме да се петљају са мојим резервним копијама у Дропбок-у и Гоогле диску, сада када се ова врста ствари поново покреће. Ако неко има неку идеју, нека ми каже!
Ово је најстрашније искуство које ће неко преживети, не желим ово ни најгорем непријатељу, срећно свима, наставите да стижу постови можда неко пронађе решење, надамо се и молимо се, управо сам се заразио и тражим решење, такође сам на вин Ксп и поново ћу објавити ако нађем нешто корисним. Хвала вам свима на помоћи.
Драги моји,
Пре неколико дана, мој лаптоп је напао горе наведени вирус и сада покушавам да пронађем решење. Пошто је последњи пост изнад датиран 15. април, питам се да ли је неко наишао на неко друго решење? Да ли је неко пробао процедуру коју је помињао Кал (тј.
извадите чврсти диск, ставите га у другу машину као спољни диск и покрените програм за опоравак датотека)? Много хвала унапред.
Здраво, имам исти вирус, и немам ништа важно на свом рачунару, могу ли само да инсталирам нови Виндовс? Онда је вирус сигурно нестао, зар не? Молим вас да одговорите што пре, јер ми је интернет оператер блокирао везу због тог глупог вируса. Хвала унапред :)
Добар чланак, пронашао сам следеће решење за опоравак датотека на другој веб локацији и желим да знам да ли сте чули за њега и да ли ради. Хвала унапред! Цал
——————————————————————————————————–
Шта ако немате копије у сенци и немате резервну копију својих датотека? Још увек постоји начин.
Као што сам рекао, Цриптовалл не шифрује ваше оригиналне датотеке. Урадиће његову копију, шифровати је и избрисати оригиналну датотеку.
Као што вероватно знате, избрисана датотека се може опоравити ако ништа није написано преко ње на вашем диску. Добро је да брзо искључите машину убрзо након инфекције!
Сада све што треба да урадите је да извадите чврсти диск, ставите га у другу машину као екстерни диск или други диск ако немате сата док, да покренете програм за опоравак датотека.
Користим Онтрацк ЕасиРецовери или Р-Студио, или чак ДатаРесцуе за Мац.
Про верзија Онтрацк ЕасиРецовери-а би такође могла да опорави датотеке из РАИД низа ако је једна од ваших мрежних дељења шифрована и немате резервне копије.
Сви ови програми ће моћи да опораве оригиналне датотеке које је Цриптовалл избрисао.
Само се уверите да када их покренете то НЕ радите директно на оригиналној машини, јер писањем на ваш заражени диск, програм може да препише избрисане датотеке.
Требало би да будете у могућности да опоравите 99% својих датотека користећи овај метод.
Мислим да сам покупио цриптовалл ствар пре отприлике месец дана, прво сам приметио да не могу да отворим датотеке, а затим сам приметио децрипт_инструцтион.ткт на радној површини. Не знајући шта сада знам, управо сам почео да бришем све што је писало било шта о дешифровању... Никада нисам био упућен на БИТЦОИН веб страницу. Од тада сам покренуо Малваребвтес и Спихунтер, сада желим да покушам да повратим неке од својих датотека помоћу овог Схадов Екплорер-а... има ли још савета?? Хвала!!