CryptoWall це ще один неприємний вірус-вимагач, який заражає операційні системи Windows, і це оновлена версія Криптозахист вірус-вимагач. Як хороша «дитина», вона зберігає свої початкові здібності, а також деякі нові. CryptoWall шифрує всі ваші файли та зберігає їх заблокованими, і немає можливості використовувати їх, поки ви не заплатите викуп. CryptoWall може шифрувати всі відомі типи файлів (документи, PDF, фотографії, відео тощо) на всіх підключених накопичувачах або місцях. Це означає, що він може заражати (шифрувати) усі файли на локальних або мережевих дисках, навіть у хмарних системах зберігання даних (наприклад, Google Drive, Dropbox, Box тощо). Cryptowall робить це, додаючи надійне шифрування (RSA 2048) до кожного файлу. Простіше кажучи, ви більше не можете відкривати свої файли або працювати з ними.
Після Cryptowall зараження, вірус створює кілька файлів у кожній зараженій папці з іменем DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html, і DECRYPT_INSTRUCTION.url які містять примітки про те, як сплатити викуп, щоб розшифрувати зашифровані файли, дотримуючись певної процедури за допомогою
The Cryptowall'Викуп встановлений на 500$ (у біткойнах), якщо ви сплачуєте його в термін, інакше викуп буде збільшено на 1000$. Після оплати хакери надішлють вам ваш особистий ключ розшифровки, який, імовірно, може розшифрувати ваші файли. Проблема в тому, що навіть якщо ви заплатите викуп, ви не можете бути впевнені, що ваші файли будуть відновлені. Єдина гарантія полягає в тому, що ваші гроші підуть якомусь хакеру, який продовжуватиме робити те саме з іншими жертвами.
Повний CryptoWall інформаційне повідомлення виглядає наступним чином:
“
Що сталося з вашими файлами?
Усі ваші файли були захищені надійним шифруванням RSA-2048 за допомогою CryptoWall.
Додаткову інформацію про ключі шифрування за допомогою RSA-2048 можна знайти тут: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Що це означає ?
Це означає, що структура та дані у ваших файлах були безповоротно змінені, ви не зможете з ними працювати, читати чи переглядати їх,
це те саме, що втратити їх назавжди, але з нашою допомогою ви можете їх відновити.
Як це сталося?
Спеціально для вас на нашому сервері була згенерована пара секретних ключів RSA-2048 – відкритий і приватний.
Усі ваші файли були зашифровані відкритим ключем, який був переданий на ваш комп’ютер через Інтернет.
Розшифровка ваших файлів можлива лише за допомогою приватного ключа та програми розшифровки, яка знаходиться на нашому секретному сервері.
Що мені робити?
На жаль, якщо ви не вживете необхідних заходів протягом зазначеного часу, то умови отримання приватного ключа будуть змінені.
Якщо ви дійсно цінуєте свої дані, ми рекомендуємо вам не витрачати дорогоцінний час на пошук інших рішень, оскільки їх не існує.
Щоб отримати більш конкретні інструкції, відвідайте свою особисту домашню сторінку. Нижче наведено кілька різних адрес, які вказують на вашу сторінку:
1.https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2.https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3.https://kpa2i8ycr9jxqwilp.onion.to/xxxx
Якщо з якихось причин адреси недоступні, виконайте такі дії:
1. Завантажте та встановіть tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2. Після успішної інсталяції запустіть браузер і дочекайтеся ініціалізації.
3. Введіть в адресному рядку: kpa2i8ycr9jxqwilp.onion/xxxx
4. Дотримуйтесь інструкцій на сайті.
ВАЖЛИВА ІНФОРМАЦІЯ:
Ваша особиста сторінка: kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
Ваша особиста сторінка (за допомогою TOR): kpa2i8ycr9jxqwilp.onion/xxxx
Ваш персональний ідентифікаційний номер (якщо ви відкриваєте сайт (або ТЗ) безпосередньо): xxxx
“
Як запобігти зараженню CryptoWall.
- Запобіжні заходи – це завжди найбезпечніший спосіб зберегти свій комп’ютер неушкодженим.
- Ви повинні бути дуже обережні, відкриваючи невідомий електронний лист, особливо якщо такий електронний лист містить фальшиве сповіщення (наприклад, «Повідомлення про виключення UPS») або вкладені файли .EXE, .SCR або .ZIP.
- Ви повинні бути обережними на шахрайських сайтах, які пропонують вам інсталювати програмне забезпечення, яке вам нібито потрібне, і НЕ ВСТАНОВЛЯЙТЕ таке програмне забезпечення.
- Найкращий спосіб боротьби з усіма типами зловмисного програмного забезпечення – це завжди мати чисте та якомога свіжіше резервне копіювання ваших важливих файлів, що зберігаються на іншому OFFLINE (не підключеному) носії (наприклад, зовнішній жорсткий диск USB, DVD ROM, тощо). Якщо ви це зробите, ви можете спочатку вилікувати свій комп’ютер, а потім відновити всі файли з чистої резервної копії.
Інформація: Для цього завдання я використовую надійний розумний і БЕЗКОШТОВНИЙ (для особистого користування) програмне забезпечення для резервного копіювання під назвою «SyncBackFree”. Детальна стаття про те, як користуватися SyncBackFree для резервного копіювання важливих файлів можна знайти тут. - Спеціалісти з корпоративної мережі можуть використовувати програмне забезпечення для створення образів диска (наприклад, «Acronis True Image”), щоб робити резервні копії образів стану робочих станцій (або серверів) у запланований час. Завдяки цьому процес відновлення стає набагато легшим і швидшим і обмежений лише обсягом пам’яті, доступним у процесі створення зображень.
Як відновити файли після зараження Cryptowall.
На жаль, БЕЗКОШТОВНОГО інструменту або методу розшифровки зашифрованих файлів Cryptowall НЕ ІСНУЄ (до дня написання цієї статті – наприкінці червня 2014 року). Таким чином, єдиними варіантами повернення файлів є наступні:
- Перший варіант — сплатити викуп*. Після цього ви отримаєте від злочинців ваш приватний інструмент розшифровки для розшифрування ваших файлів.
* Примітка: Якщо ви вирішите заплатити викуп, ви повинні зробити це на свій страх і ризик. Злочинці – не найнадійніші люди у світі. - Другий варіант — вилікувати комп’ютер, а потім відновити файли з чистої резервної копії (якщо вона у вас є).
- Нарешті, якщо у вас ОС Windows 8, 7 або Vista і «Відновлення системи” функція не була вимкнена у вашій системі (наприклад, після вірусної атаки), то після дезінфекції системи ви можете спробувати відновити свої файли в попередніх версіях з “Тіньові копії”. (Як це зробити, дивіться нижче в цій статті).
Як видалити вірус Cryptowall і відновити ваші файли з Shadow Copies.
Частина 1. Як видалити Зараження Cryptowall.
Увага: Якщо ви хочете видалитиCryptowall зараження з вашого комп’ютера, ви повинні розуміти, що ваші файли залишаться зашифрованими, навіть якщо ви вилікуєте свій комп’ютер від цієї неприємної шкідливої програми.
ЩЕ РАЗ:НЕ ПРОДОВЖУЙ ВИДАЛЕННЯ ВІРУС КРИПТОШИНИ ХІЩО:
ВИ МАЄТЕ ЧИСТА РЕЗЕРВНА КОПІЯ ВАШИХ ФАЙЛОВ, ЗБЕРЕЖЕННЯ В ІНШОМУ МІСЦІ (наприклад, портативний жорсткий диск, який не підключено до мережі).
або
ВАМ НЕ ПОТРІБНІ ЗАШИФОВАНІ ФАЙЛИ, ТОМУ, ЧОМУ ВОНИ НЕ ВАЖЛИВІ ДЛЯ ВАС.
або
ВИ ХОЧЕТЕ ДАТИ СПРАБУ ВІДНОВИТИ ВАШІ ФАЙЛИ ЗА ВИКОРИСТАННЯМ ФУНКЦІЇ ТІНЬОЇ КОПІЇ (Частина 2 цієї публікації).
Отже, якщо ви прийняли остаточне рішення, перейдіть до видалення Cryptowall зараження програм-вимагачів із вашого комп’ютера, а потім спробуйте відновити свої файли, виконавши наведену нижче процедуру:
Крок 1. Запустіть комп’ютер у «Безпечному режимі з мережею»
Зробити це,
1. Вимкніть комп’ютер.
2.Запустіть комп’ютер (Увімкнення живлення) і, коли комп’ютер завантажується, преса "F8" перед появою логотипу Windows.
3. За допомогою стрілок на клавіатурі виберіть "Безпечний режим із мережею" і натисніть "Enter".
![Safe-mode-with-networking_thumb1_thu[1]](/f/4ec247f7e9f75ab623dffb55c9103229.jpg "Safe-mode-with-networking_thumb1_thu[1]")
Крок 2. Зупиніть та видаліть запущені процеси Cryptowall за допомогою RogueKiller.
RogueKiller — це програма для захисту від шкідливих програм, розроблена для виявлення, зупинки та видалення загальних шкідливих програм і деяких розширених загроз, таких як руткіти, шахраї, хробаки тощо.
1.Завантажити і зберегти "RogueKiller" утиліта на вашому комп'ютері"* (наприклад, на робочому столі)
Примітка*: Завантажити версія x86 або X64 відповідно до версії вашої операційної системи. Щоб знайти версію операційної системи, "Клацніть правою кнопкою миші"на значку комп'ютера виберіть"Властивості"і подивись на"Тип системи«розділ.
2.Подвійне клацання бігти RogueKiller.
3. Зачекайте, поки попереднє сканування завершиться, а потім прочитайте і «Прийняти” умови ліцензії.
4. Натисніть кнопку «Сканувати”, щоб перевірити комп’ютер на наявність шкідливих загроз і шкідливих записів при запуску.
5. Нарешті, коли повне сканування буде завершено, натисніть "Видалити" кнопку, щоб видалити всі знайдені шкідливі елементи.
6. Закрити “RogueKiller” і перейдіть до наступного кроку.
Крок 3. Видалити Зараження Cryptowall за допомогою Malwarebytes Anti-Malware Free.
Завантажити і встановити одна з найнадійніших БЕЗКОШТОВНИХ антишкідливих програм на сьогодні для очищення вашого комп’ютера від інших шкідливих загроз. Якщо ви хочете постійно захищатися від загроз зловмисного програмного забезпечення, наявних і майбутніх, ми рекомендуємо вам встановити Malwarebytes Anti-Malware Premium:
Захист від Malwarebytes™
Видаляє шпигунське, рекламне та шкідливе ПЗ.
Почніть безкоштовне завантаження зараз!
Швидкі інструкції з завантаження та встановлення:
- Після того, як ви натиснули посилання вище, натисніть на «Почніть безкоштовну 14-пробну версію”, щоб почати завантаження.
![malwarebytes-downlaod_thumb1_thumb2_[1]](/f/85c9e21227a57efd2f74d07ac2f5d2f1.jpg "malwarebytes-downlaod_thumb1_thumb2_[1]")
- Щоб встановити БЕЗКОШТОВНА версія цього дивовижного продукту зніміть прапорець «Увімкнути безкоштовну пробну версію Malwarebytes Anti-Malware Premium” на останньому екрані встановлення.
![malwarebytes-anti-malware-free-insta[2]](/f/6e4df1ccb6ff3af1fba1ad7e521a5f0c.jpg "malwarebytes-anti-malware-free-insta[2]")
Скануйте та очистіть свій комп’ютер за допомогою Malwarebytes Anti-Malware.
1. бігти "Malwarebytes Anti-Malware" і дозволити програмі оновитися до останньої версії та шкідливої бази даних, якщо це необхідно.
![update-malwarebytes-anti-malware_thu[1]](/f/3831a57d87b5e636c63c4eafdff5dd8a.jpg "update-malwarebytes-anti-malware_thu[1]")
2. Після завершення процесу оновлення натисніть кнопку «Сканувати зараз”, щоб почати сканування системи на наявність шкідливих та небажаних програм.
![start-scan-malwarebytes-anti-malware[2]](/f/92b1173cd459e91620706cc55780df64.jpg "start-scan-malwarebytes-anti-malware[2]")
3. Тепер зачекайте, поки Malwarebytes Anti-Malware завершить сканування вашого комп’ютера на наявність шкідливих програм.
4. Після завершення сканування спочатку натисніть кнопку «Карантин всіх”, щоб видалити всі знайдені загрози.
5. Зачекайте, доки Malwarebytes Anti-Malware видалить усі інфекції з вашої системи, а потім перезавантажте комп’ютер (якщо це потрібно від програми), щоб повністю видалити всі активні загрози.
![wwrq1ctw_thumb1_thumb_thumb_thumb_th[2]](/f/cbf0ad5eb2299af76dc78b52b503ba4f.jpg "wwrq1ctw_thumb1_thumb_thumb_thumb_th[2]")
6. Після перезавантаження системи, знову запустіть Malwarebytes' Anti-Malware щоб переконатися, що у вашій системі не залишилося інших загроз.
Частина 2. Як відновити зашифровані файли Cryptowall з тіньових копій.
Після того, як ви продезінфікували комп’ютер від Cryptowall вірусу, то настав час спробувати відновити ваші файли до стану до зараження. Для цього є два (2) способи:
Спосіб 1: Відновіть зашифровані файли Cryptowall за допомогою функції Windows «Відновити попередні версії».
Спосіб 2: Відновіть зашифровані файли Cryptowall за допомогою утиліти «Shadow Explorer».
Увага: Ця процедура працює лише в останніх операційних системах (Windows 8, 7 і Vista) і лише за умови Відновлення системи функція раніше не була вимкнена на зараженому комп’ютері.
Спосіб 1: Як відновити зашифровані файли Cryptowall за допомогою функції «Попередні версії».
1. Перейдіть до папки або файлу, який потрібно відновити в попередньому стані та клацніть правою кнопкою миші на цьому.
2. У спадному меню виберіть «Відновити попередні версії”. *
3. Потім виберіть певну версію папки або файлу, а потім натисніть:
- “відчинено” для перегляду вмісту цієї папки/файлу.
- “Копія”, щоб скопіювати цю папку/файл в інше місце на вашому комп’ютері (наприклад, на зовнішній жорсткий диск).
- “Відновлення”, щоб відновити файл папки до того самого місця та замінити наявний.
Спосіб 2: Як відновити зашифровані файли Cryptowall за допомогою утиліти «Shadow Explorer».
ShadowExplorer, є безкоштовною заміною для Попередні версії функція ОС Microsoft Windows Vista, 7 і 8, і ви можете використовувати її для відновлення втрачених або пошкоджених файлів із Тіньові копії.
1. Завантажити ShadowExplorer корисність від тут. (Ви можете завантажити файл Програма встановлення ShadowExplorer або Портативна версія програми).
2. Біжи ShadowExplorer утиліти, а потім виберіть дату, коли ви хочете відновити тіньову копію вашої папки/файлів.
3. Тепер перейдіть до папки/файлу, який ви хочете відновити до попередньої версії, клацніть правою кнопкою миші на ньому та виберіть «Експорт”.
![Експорт ShadowExplorer[5]](/f/8e61d7999dad12db5c469deb2ccff192.jpg "Експорт ShadowExplorer[5]")
4. Нарешті вкажіть, куди буде експортована/збережена тіньова копія вашої папки/файлу (наприклад, ваш робочий стіл) і натисніть «добре”.
Удачі!.
Привіт, я теж хотів подякувати! Мені вдалося досить швидко видалити його самостійно, у цих випадках я завжди користуюся Malwarebytes. Але відновити файл було складніше. Ontrack і подібні програми мене нікуди не привели (усі файли пошкоджені), а попередні версії також не працювали. Потім я знайшов це і спробував Shadow Explorer! Це спрацювало як чарівність!
На моє щастя, заражений комп’ютер (мої матері) було виявлено за кілька годин, оскільки він почав мітуситися зі спільною папкою Dropbox, що викликало повідомлення на моєму комп’ютері. Тепер мені просто потрібно знайти спосіб запобігти тому, щоб подібні програми не втручалися в мої резервні копії в Dropbox і Google Drive, тепер, коли подібні речі знову запускаються. Якщо у когось є якісь ідеї, будь ласка, дайте мені знати!
Це найжахливіший досвід, який можна пережити, я не бажаю цього своєму найгіршому ворогу, удачі всім, залишайте публікації, можливо, хтось знайде рішення, ми сподіваємось і молимося, я щойно заразився сам і шукаю рішення, я також на win Xp і повторно опублікую, якщо знайду щось корисний. Дякую всім за допомогу.
Любі друзі,
Кілька днів тому мій ноутбук атакував вищевказаний вірус, і зараз я намагаюся знайти рішення. Оскільки останній пост вище датований 15 квітня, мені цікаво, чи хтось стикався з іншим рішенням? Хтось пробував процедуру, згадану Калом (тобто?
вийміть жорсткий диск, помістіть його в іншу машину як зовнішній диск і запустіть програму відновлення файлів)? Велике спасибі наперед.
Привіт, у мене той самий вірус, і я не маю нічого важливого на комп’ютері, чи можу я просто встановити нову Windows? Тоді вірус точно зник, чи не так? Будь ласка, дайте відповідь якомога швидше, тому що мій інтернет-оператор блокує моє з'єднання через цей дурний вірус. Заздалегідь спасибі :)
Гарна стаття, я знайшов таке рішення для відновлення файлів на іншому веб-сайті і хочу знати, чи чули ви про нього та чи працює воно. Спасибі заздалегідь! кал
——————————————————————————————————–
Що робити, якщо у вас немає тіньових копій і резервних копій ваших файлів? Ще є шлях.
Як я вже говорив, Cryptowall не шифрує ваші оригінальні файли. Він зробить його копію, зашифрує та видалить оригінальний файл.
Як ви, напевно, знаєте, видалений файл можна відновити, якщо на вашому диску нічого не записано. Добре думати, що ви швидко вимкнете машину незабаром після зараження!
Тепер все, що вам потрібно зробити, це вийняти жорсткий диск, вставити його в іншу машину як зовнішній диск або другий диск, якщо у вас немає док-станції sata, запустити програму відновлення файлів.
Я використовую Ontrack EasyRecovery або R-Studio, або навіть DataRescue для Mac.
Професійна версія Ontrack EasyRecovery також може відновлювати файли з масиву RAID, якщо один із ваших мережевих ресурсів зашифрований і у вас немає резервних копій.
Усі ці програми зможуть відновити оригінальні файли, видалені Cryptowall.
Просто переконайтеся, що, коли ви запускаєте їх, НЕ робите це безпосередньо на оригінальній машині, оскільки, записавши на ваш заражений диск, програма може перезаписати ваші видалені файли.
За допомогою цього методу ви зможете відновити 99% ваших файлів.
Я думаю, що я взяв cryptowall приблизно місяць тому, я вперше помітив, що не можу відкрити файли, а потім помітив decrypt_instruction.txt на робочому столі. Не знаючи того, що я знаю зараз, я просто почав видаляти все, що говорило про дешифрування... Мене ніколи не спрямовували на веб-сторінку BITCOIN. З тих пір я запустив Malwarebvtes і Spyhunter, тепер я хочу спробувати відновити деякі свої файли за допомогою цього Shadow Explorer... будь-які додаткові поради?? Дякую!!