FacebookTwitterLinkedIn

Wirus CryptoWall

Znany również jako: CryptoWall (ransomware)
Typ: Ransomware
Poziom zniszczenia: Średni

Tomas Meskauskas Napisany przez , (zaktualizowany)

Instrukcje usuwania wirusa CryptoWall

Czym jest CryptoWall?

CryptoWall to wirus ransomware, który infiltruje system operacyjny użytkownika za pośrednictwem zainfekowanych wiadomości e-mail i fałszywych plików do pobrania, na przykład nieuczciwych graczy wideo lub fałszywych aktualizacji flash. Po udanej infiltracji ten złośliwy program szyfruje pliki przechowywane na komputerze użytkownika (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) oraz wymagania zapłacenia okupu w wysokości 500$ (w Bitcoin) za odszyfrowanie plików. Cyberprzestępcy, którzy są odpowiedzialni za wydanie tego fałszywego programu upewnili się, że jest on wykonywany na wszystkich wersjach Windows (Windows XP, Windows Vista, Windows 7 i Windows 8). Wirus ransomware CryptoWall tworzy pliki DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html i DECRYPT_INSTRUCTION.url w każdym folderze zawierającym zaszyfrowane pliki.

Pliki te zawierają instrukcje, jak użytkownicy mogą odszyfrować swoje pliki. Instrukcje obejmują przeglądarkę Tor (anonimową przeglądarkę internetową). Cyberprzestępcy używają Tor, aby ukryć swoją tożsamość. Użytkownicy komputerów PC powinni wiedzieć, że choć sama infekcja nie jest tak skomplikowana, aby usunąć szyfrowane pliki (zaszyfrowane przy użyciu szyfrowania RSA 2048) dotknięte tym szkodliwym programem, niemożliwe jest bez zapłacenia okupu. W momencie testów nie było żadnych narzędzi lub rozwiązań zdolnych do deszyfrowania zaszyfrowanych plików przez CryptoWall. Zauważ, że klucz prywatny, który może być używany do deszyfrowania plików jest przechowywany na serwerach dowodzenia i kontroli CryptoWall, które są zarządzane przez cyberprzestępców. Idealnym rozwiązaniem byłoby usunięcie tego wirusa ransomware i przywrócenie danych z kopii zapasowej.

Zrzut ekranu z komunikatem, który jest przedstawiony w plikach DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html i DECRYPT_INSTRUCTION.url:

Instrukcje odszyfrowywania cryptowall

Infekcje ransomware, takie jak CryptoWall (np. CryptoDefense, CryptorBit i Cryptolocker) powinny być bardzo silnym argumentem, aby zawsze mieć kopie zapasowe przechowywanych danych. Zauważ, że płacenie okupu żądanego przez tego szkodnika równałoby się do wysyłania swoich pieniędzy do cyberprzestępcy. Można by wspierać ich szkodliwy model biznesowy, a co więcej, nie ma gwarancji, że pliki będą odszyfrowane. Aby uniknąć zainfekowania własnego komputera przez takie infekcje ransomware, użytkownicy powinni być bardzo ostrożni podczas otwierania wiadomości e-mail.

Podsumowanie zagrożenia:
NazwaCryptoWall (ransomware)
Typ zagrożeniaRansomware, wirus szyfrowania, blokada plików
ObjawyNie można otworzyć plików przechowywanych na twoim komputerze, wcześniej działające pliki mają teraz inne rozszerzenia, na przykład my.docx.locked. Na twoim pulpicie wyświetlana jest wiadomość z żądaniem okupu. Cyberprzestępcy żądają zapłaty okupu (zwykle Bitcoinach) za odblokowanie twoich plików.
Metody dystrybucjiZainfekowane załączniki e-mail (makra), strony z torrentami, złośliwe reklamy.
ZniszczenieWszystkie pliki są zaszyfrowane i nie mogą zostać otworzone bez zapłacenia okupu. Dodatkowe hasło kradnących trojanów i infekcji malware może być zainstalowane razem z infekcją ransomware.
Usuwanie

Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner.
▼ Pobierz Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.

Cyberprzestępcy korzystają z różnych chwytliwych tytułów, aby oszukać użytkowników komputerów do otwierania zainfekowanych załączników e-mail, na przykład "Zgłoszenie wyjątku UPS". Najnowsze badania pokazują, że Cyberprzestępcy używają również sieci P2P i fałszywych pobrań, zawierających w pakiecie infekcje ransomware do rozprzestrzeniania CryptoWall.

Komunikat przedstawiony w plikach DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html and DECRYPT_INSTRUCTION.url:

Co się stało z twoimi plikami?

 

Wszystkie pliki zostały chronione przez silne szyfrowanie RSA-2048 z wykorzystaniem CryptoWall. Więcej informacji na temat kluczy szyfrowania przy użyciu RSA-2048 możesz znaleźć tutaj: en.wikipedia.org/wiki/RSA_(crypto system)

 

Co to oznacza?

 

Oznacza to, że struktura i dane zawarte w plikach zostały nieodwracalnie zmienione i nie będziesz w stanie pracować z nimi, czytać ich lub je zobaczyć. Równa się to ich utracie na zawsze, ale z naszą pomocą możesz je przywrócić.

 

Jak to się stało?

 

Specjalnie dla ciebie, na naszym serwerze została wygenerowana para tajnych kluczy RSA-2048 - publicznych i prywatnych. Wszystkie pliki zostały zaszyfrowane za pomocą klucza publicznego, które zostały przesłane do komputera za pośrednictwem Internetu. Deszyfrowanie plików jest możliwe tylko przy pomocy klucza prywatnego i programu deszyfrowania,który znajduje się na naszym tajnym serwerze.

 

Co mam zrobić?

 

Niestety, jeśli nie podejmiesz niezbędnych środków w określonym czasie, warunki uzyskania klucza prywatnego będą zmienione. Jeśli naprawdę cenisz swoje dane, radzimy nie tracić cennego czasu na poszukiwanie rozwiązań, ponieważ nie istnieją. Aby uzyskać bardziej szczegółowe instrukcje, prosimy odwiedź swoją stronę osobistą stronę domową. Jest kilka różnych adresów wskazujących twoją stronę poniżej:

1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe

 

Jeśli z jakichś przyczyn te adresy są niedostępne, postępuj zgodnie z tymi krokami:

 

1. Pobierz i zainstaluj przeglądarkę Tor hxxp://www.torproject.org/projects/torbrowser.html.en
2. Po zakończeniu instalacji, uruchom przeglądarkę i poczekaj na inicjalizację.
3. Wpisz w pasku adresu: kpai7ycr7jxqkilp.onion/3koe
4. Podążaj za instrukcjami na stronie.

Zrzut ekranu zainfekowanej wiadomości e-mail używany w dystrybucji CryptoWall:

Dystrybucja cryptowall poprzez spamowe emaile

Tekst przedstawiony w zainfekowanych wiadomościach e-mail:

Od: UPS Quantum View [auto-notify (at) ups.com]
Temat: Zgłoszenie wyjątku UPS, Numer śledzenia 1Z522A9A6892487822
Odkryj więcej o UPS: Odwiedź ups.com
Na wniosek nadawcy, prosimy pamiętać, że dostawa następującej wysyłki została przełożona.
Ważne informacje dostawy:
Numer śledzenia: 1Z522A9A6892487822
Zmieniona data dostawy: 14-April-2014
Powód wyjątku: KLIENT NIE BYŁ DOSTĘPNY W 1 PRÓBIE PODEJŚCIA, A 2 PODEJŚCIE ZOSTANIE PODJĘTE NASTĘPNEGO DNIA ROBOCZEGO.
Szczegół wysyłki: 1Z522A9A6892487822

Zrzut ekranu strony zapłaty okupu CryptoWall:

Ochrona captcha strony cryptowall

Strona deszyfrowania cryptowall

Komunikat przedstawiony na stronie płatności okupu CryptoWall:

Usługa odszyfrowania


Twoje pliki są zaszyfrowane.


Aby uzyskać klucz do odszyfrowania plików musisz zapłacić 500 USD/EURO. Jeżeli płatność nie zostanie dokonana przed [date] koszt deszyfrowania plików wzrośnie 2 razy i będzie wynosił 1000 US /EURO zwiększając pozostałą wartość: [count down timer]

 

Prezentujemy obecnie specjalne oprogramowanie - CryptoWall Decrypter - które pozwoli rozszyfrować i przywrócić sterowanie wszystkich zaszyfrowanych plików. Jak kupić CryptoWall Decrypter?

1. Powinieneś zarejestrować Bitcoin Waller
2. Zakupić Bitcoin - Chociaż nie jest jeszcze łatwo kupić bitowe monety, jest to codziennie coraz prostsze.
3. Wysłać 1,22 BTC na adres Bitcoin: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Wprowadzić identyfikator transakcji i wybrać kwotę.
5. Prosimy sprawdź informacje dotyczące płatności i kliknij przycisk "ZAPŁAĆ".

Zauważ, że w momencie pisania tego artykułu nie było znanych narzędzi, które mogłyby odszyfrować pliki zaszyfrowane przez CryptoWall bez płacenia okupu. Stosując się do tej instrukcji usuwania będziesz mógł usunąć to ransomware ze swojego komputera, jednak pliki podlegające usterce pozostaną zaszyfrowane. Zaktualizujemy ten artykuł, jak tylko pojawi się więcej informacji na temat odszyfrowywania zainfekowanych plików.

Usuwanie wirusa CryptoWall: 

Natychmiastowe automatyczne usunięcie malware: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
 ▼ POBIERZ Combo Cleaner Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Podczas startu komputera naciśnij klawisz F8 na klawiaturze kilka razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy i naciśnij klawisz ENTER.

Tryb awaryjny z obsługą sieci

Film pokazujący jak uruchomić Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Idź do ekranu startowego Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe, w otwartym oknie „Ogólne wstawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij na przycisk "Uruchom ponownie teraz". Twój komputer zostanie ponownie uruchomiony w menu "Zaawansowane opcje uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na zaawansowanym ekranie opcji kliknij na "Ustawienia uruchamiania" i kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w trybie awaryjnym z wierszem polecenia.

Tryb awaryjny z obsługą sieci Windows 8

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto, które jest zainfekowane wirusem CryptoWall. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wpisy, które wykryje.

 

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj zrobić przywracanie systemu.

Film pokazuje, jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. Uruchom swój komputer w trybie awaryjnym z wierszem polecenia - podczas procesu uruchamiania komputera naciśnij klawisz F8 na klawiaturze kilka tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij klawisz ENTER.

Uruchamianie twojego komputera w trybie awaryjnym z wierszem polecenia

2. Kiedy ładuje się tryb wiersza polecenia wprowadź następujący wiersz: cd restore i naciśnij ENTER.

Przywracanie systemu przy użyciu wiersza polecenia cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

Przywracanie systemu przy użyciu wiersza polecenia rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

Przywracanie plików systemowych i ustawień

5. Wybierz jeden z dostępnych punktu przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty, zanim wirus ransomware CryptoWall przeniknął twój PC).

Wybieranie punktu przywracania

6. W otwartym oknie kliknij "Tak".

Uruchamianie przywracania systemu

7. Po przywróceniu komputera do poprzedniej daty pobierz i przeskanuj swój komputer zalecanym oprogramowaniem do usuwania malware, aby wyeliminować wszelkie pozostałe pliki CryptoWall.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, użytkownicy PC mogą spróbować użyć funkcji Poprzednich wersji Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja Przywracanie systemu została wyłączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty CryptoWall są znane z usuwania funkcji kopiowania objętości plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij na niego prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli wybrany plik miał punkt przywracania, zaznacz go i kliknij na przycisk "Przywróć".

Przywracanie plików zaszyfrowanych przez CryptoDefense

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci (lub z wierszem polecenia), powinieneś uruchomić komputer przy użyciu dysku ratunkowego. Niektóre warianty tego ransomware wyłączają tryb awaryjny, czyniąc usunięcie bardziej skomplikowanym. Na tym etapie potrzebny będzie dostęp do innego komputera.

Inne narzędzia znane z usuwania ransomware CryptoWall:

Źródło: https://www.pcrisk.com/removal-guides/7844-cryptowall-virus

▼ Pokaż dyskusję

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

O nas

PCrisk to portal bezpieczeństwa cybernetycznego, informujący internautów o najnowszych zagrożeniach cyfrowych. Nasze artykuły są tworzone przez ekspertów ds. bezpieczeństwa i profesjonalnych badaczy złośliwego oprogramowania. Przeczytaj więcej o nas.

Instrukcje usuwania w innych językach
Jak zapobiec infekcji
Przewodnik po nowych narzędziach do usuwania wirusów
Top narzędzia usuwania wirusów
Kod QR
CryptoWall (ransomware) kod QR
Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania CryptoWall (ransomware) na swoim urządzeniu mobilnym.
Polecamy:

Usuń infekcje malware na Windows już dzisiaj:

▼ USUŃ TO TERAZ
Pobierz Combo Cleaner

Platforma: Windows

Ocena redaktora dla Combo Cleaner:
Ocena redaktoraZnakomita!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.