Wirus 'Your personal files are encrypted'
Napisany przez Tomasa Meskauskasa, (zaktualizowany)
Instrukcje usuwania wirusa 'Your personal files are encrypted'
Czym jest 'Your personal files are encrypted' (ransomware Cirtroni)?
Wirus ransomware Critroni infiltruje systemy operacyjne użytkowników za pośrednictwem zainfekowanych wiadomości e-mail i fałszywe pliki do pobrania (na przykład, nieuczciwe odtwarzacze wideo lub fałszywe aktualizacje Flash). Po udanej infiltracji, szkodnik ten szyfruje pliki przechowywane na komputerach (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) i domaga się zapłaty 300 dolarów okupu (w Bitcoin) za ich odszyfrowanie (zaszyfrowane dokumenty otrzymują rozszerzenie plików ctbl). Cyberprzestępcy odpowiedzialni za udostępnianie tego fałszywego programu zapewniają, że działa on na wszystkich wersjach systemu operacyjnego Windows (Windows XP, Windows Vista, Windows 7 i Windows 8). Ransowmare Critroni tworzy pliki AllFilesAreLocked.bmp DecryptAllFiles.txt i [siedem losowych liter].html w każdym folderze zawierającym zaszyfrowane pliki.
Pliki te zawierają instrukcje określające sposób, w jaki użytkownicy mogą odszyfrować swoje pliki oraz o korzystaniu z przeglądarki Tor (anonimowej przeglądarki internetowej). Cyberprzestępcy używają Tor by ukryć swoją tożsamość. Użytkownicy komputerów powinni uważać, że choć sama infekcja nie jest skomplikowana do usunięcia, deszyfrowanie plików (zaszyfrowanych przy użyciu szyfrowania RSA 2048) dotkniętych tym szkodliwym programem jest niemożliwe bez zapłacenia okupu. W momencie testów nie było żadnych narzędzi lub rozwiązań zdolnych do deszyfrowania plików zaszyfrowanych przez Critroni. Należy pamiętać, że klucz prywatny, wymagany do odszyfrowania plików jest przechowywany przez serwery dowodzenia i kontroli Critroni, które są zarządzane przez cyberprzestępców. Dlatego najlepszym rozwiązaniem jest usunięcie tego wirusa ransomware, a następnie przywrócenie danych z kopii zapasowej.
Infekcje takie jak ransomware Critroni (w tym CryptoWall, CryptoDefense, CryptorBit i Cryptolocker) przedstawiają mocne argumenty, aby regularnie tworzyć kopie zapasowe przechowywanych danych. Należy pamiętać, że płacenie okupu wymaganego przez tego szkodnika jest równoważne z wysyłaniem pieniędzy do cyberprzestępców - będzie wspierało ich szkodliwy model biznesowy i nie ma gwarancji, że pliki będą zawsze odszyfrowane. Aby uniknąć zainfekowania komputera przez ransomware, takie jak to, wyraź ostrożność podczas otwierania wiadomości e-mail, ponieważ cyberprzestępcy korzystają z różnych chwytliwych tytułów, aby oszukać użytkowników komputerów do otwierania zainfekowanych załączników e-mail (na przykład "powiadomienia o wyjątku UPS" lub "Powiadomienia o niedoręczeniu Fedex").
Nazwa | Critroni, Critroni.A (ransomware) |
Typ zagrożenia | Ransomware, wirus szyfrowania, blokada plików |
Objawy | Nie można otworzyć plików przechowywanych na twoim komputerze, wcześniej działające pliki mają teraz inne rozszerzenia, na przykład my.docx.locked. Na twoim pulpicie wyświetlana jest wiadomość z żądaniem okupu. Cyberprzestępcy żądają zapłaty okupu (zwykle Bitcoinach) za odblokowanie twoich plików. |
Metody dystrybucji | Zainfekowane załączniki e-mail (makra), strony z torrentami, złośliwe reklamy. |
Zniszczenie | Wszystkie pliki są zaszyfrowane i nie mogą zostać otworzone bez zapłacenia okupu. Dodatkowe hasło kradnących trojanów i infekcji malware może być zainstalowane razem z infekcją ransomware. |
Usuwanie | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Testy pokazują, że cyberprzestępcy używają również sieci P2P i fałszywych pobrań będących w pakiecie z infekcjami ransomware, aby mnożyć Critroni. Obecnie zagrożenie "'Your personal files are encrypted' jest wydane w języku angielskim i rosyjskim, a więc kraje mówiące w tych językach są na szczycie listy docelowej cyberprzestępców dystrybuujących te szkodliwe oprogramowanie.
Wiadomość prezentowana w plikach AllFilesAreLocked.bmp DecryptAllFiles.txt i [7 losowych liter].html:
Twoje dokumenty, zdjęcia, bazy danych i inne ważne pliki zostały zaszyfrowane najsilniejszym szyfrowaniem i unikalnym kluczem, wygenerowanym dla tego komputera. Prywatny klucz do deszyfrowania przechowywany jest na tajnym serwerze internetowym i nikt nie może odszyfrować plików aż do momentu zapłaty i uzyskania klucza prywatnego. Jeśli zobaczysz główne okno skrzynki, postępuj zgodnie z instrukcjami wyświetlanymi na nim. W przeciwnym razie wydaje się, że Ty lub Twój program antywirusowy usunęliście ten program. Teraz masz ostatnią szansę na odszyfrowania plików.
1. Wpisz adres hxxp://torproject.org w swoją przeglądarkę internetową. Otworzy się strona Tor.
2. Naciśnij 'Download Tor', a następnie 'DOWNLOAD Tor Browser Bundle',
zainstalują ją i uruchom.
3. Teraz masz przeglądarkę Tor. Otwórz w niej hxxp://zaxseiufetlkwpeu.onion
Zauważ, że ten serwer jest dostępny tylko poprzez przeglądarkę Tor.
Spróbuj ponownie za godzinę, jeśli nie możesz otworzyć strony.
4. Skopiuj i wklej następujący publiczny klucz do formularza z tego serwera. Unikaj błędów pisowni.
436VPT-XI445Z-X4CFSL-MPOT6U-PQL2TK-74RNAQ-XYCCWO-ADYDL6
27UGA3-4YIAVP-IF3TTK-YGXGAI-3FATAX-SFK2XJ-VMELOS-YQNMI7
Q456FO-OVG476-FXKES2-TIAVXZ-ME2RLY-OWBKKV-L7EWNS-KYSWLB
5. Podążaj za instrukcjami na serwerze.
Zrzut ekranu w zainfekowanej wiadomości e-mail wykorzystanej w dystrybucji ransomware 'Your personal files are encrypted':
Tekst prezentowany z zainfekowanych wiadomościach e-mail:
Temat: Powiadomienie UPS
Z: Zespół obsługi paczek (0511notify (at) ups.com)
Drogi kliencie,
Jest to uzupełnienie dla dostawy twojej paczki (numer śledzenia 0p2uYq5RIho). Paczka zawarta w powyższej przesyłce nie został przyjęta pod adresem docelowym. Prosimy o kontakt z lokalnym biurem UPS i wydrukowanie naklejki dostawy zawartej w tym załączniku e-mail. Należy pamiętać, że w przypadku niepowodzenia należy się skontaktować z lokalnym biurem UPS. W ciągu 21 dni paczka zostanie zwrócona do nadawcy.
Szczęśliwi, że możemy ci służyć,
UPS.com
Wiadomość została wysłana automatycznie. Prosimy na nią nie odpowiadać.
Zrzut ekranu pliku AllFilesAreLocked.bmp:
Zrzut ekranu pliku DecryptAllFiles.txt:
Zrzut ekranu pliku [siedem losowych liter].html:
Strona płatności ransomware 'Your personal files are encrypted':
Wiadomość prezentowana na stronie płatności ransomware 'Your personal files are encrypted':
Wymagana płatność.
Serwer akceptuje płatności jedynie w Bitcoin (BTC).
1. Zapłać kwotę 0.2 BTC (około 24 USD) na adres – adresu portfela Bitcoin.
2. Transakcja zajmie około 15-30 minut do potwierdzenia.
Deszyfrowanie rozpocznie się automatycznie. Nie wyłączaj komputera, nie uruchomiaj programu antywirusowego, nie wyłączaj połączenia internetowego. Błędy podczas odzyskiwania klucza deszyfrowania plików mogą prowadzić do przypadkowego uszkodzenia plików. Jeśli nie masz bitcoin naciśnij "Wymiana".
Strona wymiany waluty Critroni:
Uwaga: w czasie pisania, nie było znanych narzędzi umożliwiającym odszyfrowanie plików zaszyfrowanych przez Critroni bez płacenia okupu. Stosując się do tej instrukcji usuwania, będziesz mógł usunąć to ransomware ze swojego komputera, jednak pliki pozostaną dotknięte szyfrowaniem. Zaktualizujemy ten artykuł tak szybko, jak tylko będzie więcej dostępnych informacji dotyczących deszyfrowania zainfekowanych plików.
Usuwanie wirusa Critroni:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest ransomware 'Your personal files are encrypted' (Critroni)?
- KROK 1. Usuwanie wirusa Critroni przy użyciu trybu awaryjnego z obsługą sieci.
- KROK 2. Usuwanie ransomware Critroni przy użyciu Przywracania systemu.
Krok 1
Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas procesu uruchamiania komputera naciśnij klawisz F8 na klawiaturze kilka razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.
Film pokazujący jak uruchomić Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Uruchom Windows 8 w Trybie awaryjnym z obsługą sieci - Idź do ekranu startowego Windows 8, wpisz Advanced, w wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie Ustawienia komputera "Ogólne" wybierz Zaawansowane uruchamianie. Kliknij na przycisk "Uruchom ponownie teraz". Twój komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na zaawansowanym ekranie opcji kliknij na "Ustawienia uruchamiania". Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij klawisz F5, aby uruchomić system w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":
Krok 2
Zaloguj się do konta zainfekowanego wirusem Critroni. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.
Jeśli nie możesz uruchomić komputera w Trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracanie systemu.
Film pokazuje, jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":
1. Podczas procesu uruchamiania komputera naciśnij klawisz F8 na klawiaturze kilka razy, aż pojawi się menu zaawansowanych opcji systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij klawisz ENTER.
2. Gdy załaduje się tryb Wiersza polecenia, wpisz następującą linię: cd restore i naciśnij ENTER.
3. Następnie, wpisz tę linię: rstrui.exe i naciśnij ENTER.
4. W otwartym oknie kliknij "Następny".
5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (przywróci to system twojego komputera do wcześniejszego stanu i daty, zanim wirus ransomware Critroni zinfiltrował twój komputer).
6. W otwartym oknie kliknij "Tak".
7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem do usuwania malware, aby wyeliminować pozostałe pliki Critroni.
Aby przywrócić pojedyncze pliki zaszyfrowane przez tego szkodnika, spróbuj funkcji poprzednich wersji Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty Critroni są znane z usuwania funkcji usuwania kopii woluminu, więc ta metoda może nie działać na wszystkich komputerach.
Aby przywrócić plik, kliknij na niego prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Przywróć".
Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom komputer przy użyciu dysku ratunkowego. Niektóre warianty szkodnika wyłączają tryb awaryjny, dzięki czemu jego usunięcie skomplikowane. W tym kroku potrzebujesz dostępu do innego komputera.
Inne narzędzia znane z usuwania ransomware Critroni:
Źródło: https://www.pcrisk.com/removal-guides/8120-your-personal-files-are-encrypted-virus
▼ Pokaż dyskusję