Wirus 'Your personal files are encrypted'

Znany również jako: Critroni ransomware lub Critroni.A
Dystrybucja: Niska
Poziom zniszczenia: Silny

Instrukcje usuwania wirusa 'Your personal files are encrypted'

Czym jest 'Your personal files are encrypted' (ransomware Cirtroni)?

Wirus ransomware Critroni infiltruje systemy operacyjne użytkowników za pośrednictwem zainfekowanych wiadomości e-mail i fałszywe pliki do pobrania (na przykład, nieuczciwe odtwarzacze wideo lub fałszywe aktualizacje Flash). Po udanej infiltracji, szkodnik ten szyfruje pliki przechowywane na komputerach (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) i domaga się zapłaty 300 dolarów okupu (w Bitcoin) za ich odszyfrowanie (zaszyfrowane dokumenty otrzymują rozszerzenie plików ctbl). Cyberprzestępcy odpowiedzialni za udostępnianie tego fałszywego programu zapewniają, że działa on na wszystkich wersjach systemu operacyjnego Windows (Windows XP, Windows Vista, Windows 7 i Windows 8). Ransowmare Critroni tworzy pliki AllFilesAreLocked.bmp DecryptAllFiles.txt i [siedem losowych liter].html w każdym folderze zawierającym zaszyfrowane pliki.

Pliki te zawierają instrukcje określające sposób, w jaki użytkownicy mogą odszyfrować swoje pliki oraz o korzystaniu z przeglądarki Tor (anonimowej przeglądarki internetowej). Cyberprzestępcy używają Tor by ukryć swoją tożsamość. Użytkownicy komputerów powinni uważać, że choć sama infekcja nie jest skomplikowana do usunięcia, deszyfrowanie plików (zaszyfrowanych przy użyciu szyfrowania RSA 2048) dotkniętych tym szkodliwym programem jest niemożliwe bez zapłacenia okupu. W momencie testów nie było żadnych narzędzi lub rozwiązań zdolnych do deszyfrowania plików zaszyfrowanych przez Critroni. Należy pamiętać, że klucz prywatny, wymagany do odszyfrowania plików jest przechowywany przez serwery dowodzenia i kontroli Critroni, które są zarządzane przez cyberprzestępców. Dlatego najlepszym rozwiązaniem jest usunięcie tego wirusa ransomware, a następnie przywrócenie danych z kopii zapasowej.

Ransomware Your personal files are encrypted (citroni)

Infekcje takie jak ransomware Critroni (w tym CryptoWall, CryptoDefense, CryptorBit i Cryptolocker) przedstawiają mocne argumenty, aby regularnie tworzyć kopie zapasowe przechowywanych danych. Należy pamiętać, że płacenie okupu wymaganego przez tego szkodnika jest równoważne z wysyłaniem pieniędzy do cyberprzestępców - będzie wspierało ich szkodliwy model biznesowy i nie ma gwarancji, że pliki będą zawsze odszyfrowane. Aby uniknąć zainfekowania komputera przez ransomware, takie jak to, wyraź ostrożność podczas otwierania wiadomości e-mail, ponieważ cyberprzestępcy korzystają z różnych chwytliwych tytułów, aby oszukać użytkowników komputerów do otwierania zainfekowanych załączników e-mail (na przykład "powiadomienia o wyjątku UPS" lub "Powiadomienia o niedoręczeniu Fedex"). Testy pokazują, że cyberprzestępcy używają również sieci P2P i fałszywych pobrań będących w pakiecie z infekcjami ransomware, aby mnożyć Critroni. Obecnie zagrożenie "'Your personal files are encrypted' jest wydane w języku angielskim i rosyjskim, a więc kraje mówiące w tych językach są na szczycie listy docelowej cyberprzestępców dystrybuujących te szkodliwe oprogramowanie.

Wiadomość prezentowana w plikach AllFilesAreLocked.bmp DecryptAllFiles.txt i [7 losowych liter].html:

Twoje dokumenty, zdjęcia, bazy danych i inne ważne pliki zostały zaszyfrowane najsilniejszym szyfrowaniem i unikalnym kluczem, wygenerowanym dla tego komputera. Prywatny klucz do deszyfrowania przechowywany jest na tajnym serwerze internetowym i nikt nie może odszyfrować plików aż do momentu zapłaty i uzyskania klucza prywatnego. Jeśli zobaczysz główne okno skrzynki, postępuj zgodnie z instrukcjami wyświetlanymi na nim. W przeciwnym razie wydaje się, że Ty lub Twój program antywirusowy usunęliście ten program. Teraz masz ostatnią szansę na odszyfrowania plików.
1. Wpisz adres hxxp://torproject.org w swoją przeglądarkę internetową. Otworzy się strona Tor.
2. Naciśnij 'Download Tor', a następnie 'DOWNLOAD Tor Browser Bundle',
zainstalują ją i uruchom.
3. Teraz masz przeglądarkę Tor. Otwórz w niej hxxp://zaxseiufetlkwpeu.onion
Zauważ, że ten serwer jest dostępny tylko poprzez przeglądarkę Tor.
Spróbuj ponownie za godzinę, jeśli nie możesz otworzyć strony.
4. Skopiuj i wklej następujący publiczny klucz do formularza z tego serwera. Unikaj błędów pisowni.
436VPT-XI445Z-X4CFSL-MPOT6U-PQL2TK-74RNAQ-XYCCWO-ADYDL6
27UGA3-4YIAVP-IF3TTK-YGXGAI-3FATAX-SFK2XJ-VMELOS-YQNMI7
Q456FO-OVG476-FXKES2-TIAVXZ-ME2RLY-OWBKKV-L7EWNS-KYSWLB
5. Podążaj za instrukcjami na serwerze.

Zrzut ekranu w zainfekowanej wiadomości e-mail wykorzystanej w dystrybucji ransomware 'Your personal files are encrypted':

Dystrybucja ransomware Your personal files are encrypted (citroni) przy użyciu spamowych e-maili

Tekst prezentowany z zainfekowanych wiadomościach e-mail:

Temat: Powiadomienie UPS
Z: Zespół obsługi paczek (0511notify (at) ups.com)
Drogi kliencie,

 

    Jest to uzupełnienie dla dostawy twojej paczki (numer śledzenia 0p2uYq5RIho). Paczka zawarta w powyższej przesyłce nie został przyjęta pod adresem docelowym. Prosimy o kontakt z lokalnym biurem UPS i wydrukowanie naklejki dostawy zawartej w tym załączniku e-mail. Należy pamiętać, że w przypadku niepowodzenia należy się skontaktować z lokalnym biurem UPS. W ciągu 21 dni paczka zostanie zwrócona do nadawcy.

 

    Szczęśliwi, że możemy ci służyć,
UPS.com
Wiadomość została wysłana automatycznie. Prosimy na nią nie odpowiadać.

Zrzut ekranu pliku AllFilesAreLocked.bmp:

citroni allfilesarelocked bmp

Zrzut ekranu pliku DecryptAllFiles.txt:

citroni decryptallfiles txt

Zrzut ekranu pliku [siedem losowych liter].html:

Plik deszyfrujący html citroni

Strona płatności ransomware 'Your personal files are encrypted':

Strona płatności ransomware citroni

Wiadomość prezentowana na stronie płatności ransomware 'Your personal files are encrypted':

Wymagana płatność.
Serwer akceptuje płatności jedynie w Bitcoin (BTC).
1. Zapłać kwotę 0.2 BTC (około 24 USD) na adres – adresu portfela Bitcoin.
2. Transakcja zajmie około 15-30 minut do potwierdzenia.
Deszyfrowanie rozpocznie się automatycznie. Nie wyłączaj komputera, nie uruchomiaj programu antywirusowego, nie wyłączaj połączenia internetowego. Błędy podczas odzyskiwania klucza deszyfrowania plików mogą prowadzić do przypadkowego uszkodzenia plików. Jeśli nie masz bitcoin naciśnij "Wymiana".

Strona wymiany waluty Critroni:

Strona wymiany waluty na bitcoin ransomware citroni

Uwaga: w czasie pisania, nie było znanych narzędzi umożliwiającym odszyfrowanie plików zaszyfrowanych przez Critroni bez płacenia okupu. Stosując się do tej instrukcji usuwania, będziesz mógł usunąć to ransomware ze swojego komputera, jednak pliki pozostaną dotknięte szyfrowaniem. Zaktualizujemy ten artykuł tak szybko, jak tylko będzie więcej dostępnych informacji dotyczących deszyfrowania zainfekowanych plików.

Usuwanie wirusa Critroni:

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas procesu uruchamiania komputera naciśnij klawisz F8 na klawiaturze kilka razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Tryb awaryjny z obsługą sieci

Film pokazujący jak uruchomić Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Uruchom Windows 8 w Trybie awaryjnym z obsługą sieci - Idź do ekranu startowego Windows 8, wpisz Advanced, w wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie Ustawienia komputera "Ogólne" wybierz Zaawansowane uruchamianie. Kliknij na przycisk "Uruchom ponownie teraz". Twój komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na zaawansowanym ekranie opcji kliknij na "Ustawienia uruchamiania". Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij klawisz F5, aby uruchomić system w trybie awaryjnym z obsługą sieci.

Tryb awaryjny z obsługą sieci Windows 8

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się do konta zainfekowanego wirusem Critroni. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.


Download program do usuwania Critroni ransomware lub Critroni.A

Pobierając wymienione na tej stronie oprogramowanie zgadzasz się z naszą Polityką prywatności i Regulaminem. Wszystkie polecane przez nas produkty zostały dokładnie przetestowane i zatwierdzone przez naszych techników, jako jedne z najbardziej efektywnych rozwiązań dla usunięcia tego zagrożenia.


Jeśli nie możesz uruchomić komputera w Trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracanie systemu.

Film pokazuje, jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. Podczas procesu uruchamiania komputera naciśnij klawisz F8 na klawiaturze kilka razy, aż pojawi się menu zaawansowanych opcji systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij klawisz ENTER.

Uruchamianie twojego komputera przy użyciu Trybu awaryjnego z wierszem polecenia

2. Gdy załaduje się tryb Wiersza polecenia, wpisz następującą linię: cd restore i naciśnij ENTER.

Przywracanie systemu z użyciem wiersza polecenia typu cd restore

3. Następnie, wpisz tę linię: rstrui.exe i naciśnij ENTER.

Przywracanie systemu z użyciem wiersza polecenia typu rstrui.exe

4. W otwartym oknie kliknij "Następny".

Przywracanie plików i ustawień systemu

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (przywróci to system twojego komputera do wcześniejszego stanu i daty, zanim wirus ransomware Critroni zinfiltrował twój komputer).

Wybierz punkt przywracania

6. W otwartym oknie kliknij "Tak".

Uruchom przywracanie systemu

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem do usuwania malware, aby wyeliminować pozostałe pliki Critroni.

Aby przywrócić pojedyncze pliki zaszyfrowane przez tego szkodnika, spróbuj funkcji poprzednich wersji Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty Critroni są znane z usuwania funkcji usuwania kopii woluminu, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij na niego prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Przywróć".

Odzyskiwanie plików zaszyfrowanych przez CryptoDefense

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom komputer przy użyciu dysku ratunkowego. Niektóre warianty szkodnika wyłączają tryb awaryjny, dzięki czemu jego usunięcie skomplikowane. W tym kroku potrzebujesz dostępu do innego komputera.

Inne narzędzia znane z usuwania ransomware Critroni: