Wirus CryptoWall
Napisany przez Tomasa Meskauskasa, (zaktualizowany)
Instrukcje usuwania wirusa CryptoWall
Czym jest CryptoWall?
CryptoWall to wirus ransomware, który infiltruje system operacyjny użytkownika za pośrednictwem zainfekowanych wiadomości e-mail i fałszywych plików do pobrania, na przykład nieuczciwych graczy wideo lub fałszywych aktualizacji flash. Po udanej infiltracji ten złośliwy program szyfruje pliki przechowywane na komputerze użytkownika (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) oraz wymagania zapłacenia okupu w wysokości 500$ (w Bitcoin) za odszyfrowanie plików. Cyberprzestępcy, którzy są odpowiedzialni za wydanie tego fałszywego programu upewnili się, że jest on wykonywany na wszystkich wersjach Windows (Windows XP, Windows Vista, Windows 7 i Windows 8). Wirus ransomware CryptoWall tworzy pliki DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html i DECRYPT_INSTRUCTION.url w każdym folderze zawierającym zaszyfrowane pliki.
Pliki te zawierają instrukcje, jak użytkownicy mogą odszyfrować swoje pliki. Instrukcje obejmują przeglądarkę Tor (anonimową przeglądarkę internetową). Cyberprzestępcy używają Tor, aby ukryć swoją tożsamość. Użytkownicy komputerów PC powinni wiedzieć, że choć sama infekcja nie jest tak skomplikowana, aby usunąć szyfrowane pliki (zaszyfrowane przy użyciu szyfrowania RSA 2048) dotknięte tym szkodliwym programem, niemożliwe jest bez zapłacenia okupu. W momencie testów nie było żadnych narzędzi lub rozwiązań zdolnych do deszyfrowania zaszyfrowanych plików przez CryptoWall. Zauważ, że klucz prywatny, który może być używany do deszyfrowania plików jest przechowywany na serwerach dowodzenia i kontroli CryptoWall, które są zarządzane przez cyberprzestępców. Idealnym rozwiązaniem byłoby usunięcie tego wirusa ransomware i przywrócenie danych z kopii zapasowej.
Zrzut ekranu z komunikatem, który jest przedstawiony w plikach DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html i DECRYPT_INSTRUCTION.url:
Infekcje ransomware, takie jak CryptoWall (np. CryptoDefense, CryptorBit i Cryptolocker) powinny być bardzo silnym argumentem, aby zawsze mieć kopie zapasowe przechowywanych danych. Zauważ, że płacenie okupu żądanego przez tego szkodnika równałoby się do wysyłania swoich pieniędzy do cyberprzestępcy. Można by wspierać ich szkodliwy model biznesowy, a co więcej, nie ma gwarancji, że pliki będą odszyfrowane. Aby uniknąć zainfekowania własnego komputera przez takie infekcje ransomware, użytkownicy powinni być bardzo ostrożni podczas otwierania wiadomości e-mail.
Nazwa | CryptoWall (ransomware) |
Typ zagrożenia | Ransomware, wirus szyfrowania, blokada plików |
Objawy | Nie można otworzyć plików przechowywanych na twoim komputerze, wcześniej działające pliki mają teraz inne rozszerzenia, na przykład my.docx.locked. Na twoim pulpicie wyświetlana jest wiadomość z żądaniem okupu. Cyberprzestępcy żądają zapłaty okupu (zwykle Bitcoinach) za odblokowanie twoich plików. |
Metody dystrybucji | Zainfekowane załączniki e-mail (makra), strony z torrentami, złośliwe reklamy. |
Zniszczenie | Wszystkie pliki są zaszyfrowane i nie mogą zostać otworzone bez zapłacenia okupu. Dodatkowe hasło kradnących trojanów i infekcji malware może być zainstalowane razem z infekcją ransomware. |
Usuwanie | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Cyberprzestępcy korzystają z różnych chwytliwych tytułów, aby oszukać użytkowników komputerów do otwierania zainfekowanych załączników e-mail, na przykład "Zgłoszenie wyjątku UPS". Najnowsze badania pokazują, że Cyberprzestępcy używają również sieci P2P i fałszywych pobrań, zawierających w pakiecie infekcje ransomware do rozprzestrzeniania CryptoWall.
Komunikat przedstawiony w plikach DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html and DECRYPT_INSTRUCTION.url:
Co się stało z twoimi plikami?
Wszystkie pliki zostały chronione przez silne szyfrowanie RSA-2048 z wykorzystaniem CryptoWall. Więcej informacji na temat kluczy szyfrowania przy użyciu RSA-2048 możesz znaleźć tutaj: en.wikipedia.org/wiki/RSA_(crypto system)
Co to oznacza?
Oznacza to, że struktura i dane zawarte w plikach zostały nieodwracalnie zmienione i nie będziesz w stanie pracować z nimi, czytać ich lub je zobaczyć. Równa się to ich utracie na zawsze, ale z naszą pomocą możesz je przywrócić.
Jak to się stało?
Specjalnie dla ciebie, na naszym serwerze została wygenerowana para tajnych kluczy RSA-2048 - publicznych i prywatnych. Wszystkie pliki zostały zaszyfrowane za pomocą klucza publicznego, które zostały przesłane do komputera za pośrednictwem Internetu. Deszyfrowanie plików jest możliwe tylko przy pomocy klucza prywatnego i programu deszyfrowania,który znajduje się na naszym tajnym serwerze.
Co mam zrobić?
Niestety, jeśli nie podejmiesz niezbędnych środków w określonym czasie, warunki uzyskania klucza prywatnego będą zmienione. Jeśli naprawdę cenisz swoje dane, radzimy nie tracić cennego czasu na poszukiwanie rozwiązań, ponieważ nie istnieją. Aby uzyskać bardziej szczegółowe instrukcje, prosimy odwiedź swoją stronę osobistą stronę domową. Jest kilka różnych adresów wskazujących twoją stronę poniżej:
1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe
Jeśli z jakichś przyczyn te adresy są niedostępne, postępuj zgodnie z tymi krokami:
1. Pobierz i zainstaluj przeglądarkę Tor hxxp://www.torproject.org/projects/torbrowser.html.en
2. Po zakończeniu instalacji, uruchom przeglądarkę i poczekaj na inicjalizację.
3. Wpisz w pasku adresu: kpai7ycr7jxqkilp.onion/3koe
4. Podążaj za instrukcjami na stronie.
Zrzut ekranu zainfekowanej wiadomości e-mail używany w dystrybucji CryptoWall:
Tekst przedstawiony w zainfekowanych wiadomościach e-mail:
Od: UPS Quantum View [auto-notify (at) ups.com]
Temat: Zgłoszenie wyjątku UPS, Numer śledzenia 1Z522A9A6892487822
Odkryj więcej o UPS: Odwiedź ups.com
Na wniosek nadawcy, prosimy pamiętać, że dostawa następującej wysyłki została przełożona.
Ważne informacje dostawy:
Numer śledzenia: 1Z522A9A6892487822
Zmieniona data dostawy: 14-April-2014
Powód wyjątku: KLIENT NIE BYŁ DOSTĘPNY W 1 PRÓBIE PODEJŚCIA, A 2 PODEJŚCIE ZOSTANIE PODJĘTE NASTĘPNEGO DNIA ROBOCZEGO.
Szczegół wysyłki: 1Z522A9A6892487822
Zrzut ekranu strony zapłaty okupu CryptoWall:
Komunikat przedstawiony na stronie płatności okupu CryptoWall:
Usługa odszyfrowania
Twoje pliki są zaszyfrowane.
Aby uzyskać klucz do odszyfrowania plików musisz zapłacić 500 USD/EURO. Jeżeli płatność nie zostanie dokonana przed [date] koszt deszyfrowania plików wzrośnie 2 razy i będzie wynosił 1000 US /EURO zwiększając pozostałą wartość: [count down timer]
Prezentujemy obecnie specjalne oprogramowanie - CryptoWall Decrypter - które pozwoli rozszyfrować i przywrócić sterowanie wszystkich zaszyfrowanych plików. Jak kupić CryptoWall Decrypter?
1. Powinieneś zarejestrować Bitcoin Waller
2. Zakupić Bitcoin - Chociaż nie jest jeszcze łatwo kupić bitowe monety, jest to codziennie coraz prostsze.
3. Wysłać 1,22 BTC na adres Bitcoin: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Wprowadzić identyfikator transakcji i wybrać kwotę.
5. Prosimy sprawdź informacje dotyczące płatności i kliknij przycisk "ZAPŁAĆ".
Zauważ, że w momencie pisania tego artykułu nie było znanych narzędzi, które mogłyby odszyfrować pliki zaszyfrowane przez CryptoWall bez płacenia okupu. Stosując się do tej instrukcji usuwania będziesz mógł usunąć to ransomware ze swojego komputera, jednak pliki podlegające usterce pozostaną zaszyfrowane. Zaktualizujemy ten artykuł, jak tylko pojawi się więcej informacji na temat odszyfrowywania zainfekowanych plików.
Usuwanie wirusa CryptoWall:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest CryptoWall?
- KROK 1. Usuwanie wirusa CryptoWall przy użyciu trybu awaryjnego z obsługą sieci.
- KROK 2. Usuwanie ransomware CryptoWall przy użyciu przywracania systemu.
Krok 1
Użytkownicy Windows XP i Windows 7: Podczas startu komputera naciśnij klawisz F8 na klawiaturze kilka razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy i naciśnij klawisz ENTER.
Film pokazujący jak uruchomić Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Idź do ekranu startowego Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe, w otwartym oknie „Ogólne wstawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij na przycisk "Uruchom ponownie teraz". Twój komputer zostanie ponownie uruchomiony w menu "Zaawansowane opcje uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na zaawansowanym ekranie opcji kliknij na "Ustawienia uruchamiania" i kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w trybie awaryjnym z wierszem polecenia.
Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":
Krok 2
Zaloguj się na konto, które jest zainfekowane wirusem CryptoWall. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wpisy, które wykryje.
Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj zrobić przywracanie systemu.
Film pokazuje, jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":
1. Uruchom swój komputer w trybie awaryjnym z wierszem polecenia - podczas procesu uruchamiania komputera naciśnij klawisz F8 na klawiaturze kilka tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij klawisz ENTER.
2. Kiedy ładuje się tryb wiersza polecenia wprowadź następujący wiersz: cd restore i naciśnij ENTER.
3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.
4. W otwartym oknie kliknij przycisk "Dalej".
5. Wybierz jeden z dostępnych punktu przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty, zanim wirus ransomware CryptoWall przeniknął twój PC).
6. W otwartym oknie kliknij "Tak".
7. Po przywróceniu komputera do poprzedniej daty pobierz i przeskanuj swój komputer zalecanym oprogramowaniem do usuwania malware, aby wyeliminować wszelkie pozostałe pliki CryptoWall.
Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, użytkownicy PC mogą spróbować użyć funkcji Poprzednich wersji Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja Przywracanie systemu została wyłączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty CryptoWall są znane z usuwania funkcji kopiowania objętości plików, więc ta metoda może nie działać na wszystkich komputerach.
Aby przywrócić plik, kliknij na niego prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli wybrany plik miał punkt przywracania, zaznacz go i kliknij na przycisk "Przywróć".
Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci (lub z wierszem polecenia), powinieneś uruchomić komputer przy użyciu dysku ratunkowego. Niektóre warianty tego ransomware wyłączają tryb awaryjny, czyniąc usunięcie bardziej skomplikowanym. Na tym etapie potrzebny będzie dostęp do innego komputera.
Inne narzędzia znane z usuwania ransomware CryptoWall:
Źródło: https://www.pcrisk.com/removal-guides/7844-cryptowall-virus
▼ Pokaż dyskusję