FacebookTwitterLinkedIn

Wirus Crypt0L0cker

Znany również jako: Crypt0L0cker (ransomware)
Typ: Ransomware
Poziom zniszczenia: Silny

Tomas Meskauskas Napisany przez , (zaktualizowany)

Instrukcje usuwania ransomware Crypt0L0cker

Czym jest Crypt0L0cker?

Crypt0L0cker to infekcja ransomware, która infiltruje komputery użytkowników za pomocą zainfekowanych załączników wiadomości e-mail (najczęściej tematy wiadomości są następujące: "śledzenie przesyłki", "nadmierna prędkość", "niezapłacona faktura" itp.). Zauważ, że cyberprzestępcy zlokalizowali te spamowe wiadomości e-mail, aby wyglądały na bardziej uzasadnione. Na przykład użytkownicy komputerów znajdujących się w Wielkiej Brytanii otrzymają fałszywą wiadomość e-mail twierdzącą, że śledzi paczkę z Royal Mail. Użytkownicy komputerów z Australii otrzymają wiadomość z Australia Post itd. Po udanej infiltracji ransomware szyfruje pliki na komputerze ofiary i żąda zapłaty okupu 2,2 Bitcoin za odszyfrowanie ich. Ransomware Crypt0l0cker szyfruje wszystkie pliki znajdujące się na komputerze ofiary z wyjątkiem .html, .inf, .manifest, .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe, .avi, .wav, .mp3, .gif, .ico, .png, .bmp i .txt (plików niezbędnych do prawidłowej pracy systemu Windows).

Pomyślnie zaszyfrowane pliki otrzymują prefiks .encrypted. W każdym folderze zawierającym zaszyfrowane pliki Crypt0l0cker zapisuje pliki DECRYTP_INSTRUCTIONS.html i DECRYPT_INSTRUCTIONS.txt z instrukcjami jak zapłacić okup. To ransomware jest przeznaczony dla użytkowników komputerów z Australii, Kanady, Austrii Czech, Włoch, Irlandii, Francji, Niemiec, Holandii, Korei, Tajlandii, Nowej Zelandii, Hiszpanii, Turcji i Wielkiej Brytanii. Jest to zaktualizowany wariant ransomware wcześniej znanego jako TorrentLocker. Cyberprzestępcy odpowiedzialni za stworzenie ransomware Crypt0l0cker używają sieci Tor do zbierania płatności okupu od swoich ofiar. Sieć TOR zapewnia, że ich tożsamość i miejsce pozostają anonimowe.

Crypt0L0cker virus

Infekcje ransomware, takie jak Crypt0L0cker (w tym CryptoWall, TeslaCrypt i CTB-Locker) stanowią silny argument, aby regularne tworzyć kopie zapasowe przechowywanych danych. Należy pamiętać, że płacenie okupu żądanego przez to ransomware jest równoznaczne z wysłaniem pieniędzy na cyberprzestępców - będzie wspierać ich model biznesowy i nie ma gwarancji, że pliki zostaną kiedykolwiek odszyfrowane. Aby uniknąć zainfekowania swojego komputera ransomware takim jak to, wyraź ostrożność podczas otwierania wiadomości e-mail.

Podsumowanie zagrożenia:
Nazwa Crypt0L0cker (ransomware)
Typ zagrożenia Ransomware, wirus szyfrowania, blokada plików
Objawy Nie można otworzyć plików przechowywanych na twoim komputerze, wcześniej działające pliki mają teraz inne rozszerzenia, na przykład my.docx.locked. Na twoim pulpicie wyświetlana jest wiadomość z żądaniem okupu. Cyberprzestępcy żądają zapłaty okupu (zwykle Bitcoinach) za odblokowanie twoich plików.
Metody dystrybucji Zainfekowane załączniki e-mail (makra), strony z torrentami, złośliwe reklamy.
Zniszczenie Wszystkie pliki są zaszyfrowane i nie mogą zostać otworzone bez zapłacenia okupu. Dodatkowe hasło kradnących trojanów i infekcji malware może być zainstalowane razem z infekcją ransomware.
Usuwanie

Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner.
▼ Pobierz Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.

Cyberprzestępcy wykorzystują różne chwytliwe tytuły, aby oszukać użytkowników komputerów do otwarcia zainfekowanych załączników e-mail. Zauważ, że w momencie pisania tego artykułu nie były dostępne żadne narzędzia do odszyfrowania plików dotkniętych ransomware Crypt0locker bez płacenia okupu.

Cyberprzestępcy przetłumaczyli ransomware Crypt0l0cker na różne języki, aby kierować je różne kraje. Tutaj jest przykładem tego ransomware skierowanego do użytkowników komputerów PC z Korei:

Crypt0L0cker virus targeted at PC users from Korea

Zrzut ekranu pliku DECRYTP_INSTRUCTIONS.html:

Crypt0L0cker decrypt_instructions.html file

Tekst prezentowany w pliku DECRYTP_INSTRUCTIONS.html:

OSTRZEŻENIE Zaszyfrowaliśmy pliki wirusem Crypt0L0cker. Twoje ważne pliki (w tym na dyskach sieciowych, USB etc.): zdjęcia, filmy, dokumenty itp. zostały zaszyfrowane za pomocą naszego wirusa Crypt0L0cker. Jedynym sposobem, aby uzyskać pliki z powrotem jest zapłacenie nam. W przeciwnym wypadku, pliki zostaną utracone. Uwaga: Usuwanie Crypt0L0cker nie przywróci dostępu do zaszyfrowanych plików.

Zrzut ekranu pliku DECRYPT_INSTRUCTIONS.txt:

Crypt0L0cker decrypt_instructions.txt file

Tekst prezentowany w pliku DECRYTP_INSTRUCTIONS.html:

!!! ZASZYFROWALIŚMY TWOJE PLIKI WIRUSEM CRYPT0L0CKER !!!
Co się stało z moimi plikami? Twoje ważne pliki: zdjęcia, filmy, dokumenty itp. zostały zaszyfrowane za pomocą naszego wirusa Crypt0L0cker. Wirus ten wykorzystuje bardzo silny algorytm szyfrowania - RSA-2048. Złamanie algorytmu szyfrowania RSA-2048 nie jest możliwe bez specjalnego klucza deszyfrowania. Jak mogę dostać moje pliki z powrotem? Twoje pliki są teraz bezużyteczne i nieczytelne, możesz to zweryfikować próbując je otworzyć. Jedynym sposobem, aby przywrócić je do normalnego stanu jest użycie specjalnego oprogramowania do deszyfrowania. Możesz kupić takie oprogramowanie deszyfrowania na naszej stronie internetowej.

Strona internetowa (dostępna za pośrednictwem sieci Tor) wykorzystywana przez cyberprzestępców do zbierania okupu (2.2 BTC):

Crypt0L0cker buy decryption website

Przykłady zainfekowanych wiadomości e-mail używanych w dystrybucji ransomware Crypt0L0cker:

infected email message used in Crypt0L0cker distribution sample 1 infected email message used in Crypt0L0cker distribution sample 2 infected email message used in Crypt0L0cker distribution sample 3 infected email message used in Crypt0L0cker distribution sample 4

Przykłady nieuczciwych stron internetowych wykorzystywanych w dystrybucji ransomware Crypt0L0cker:

Website used in Crypt0L0cker distribution sample 1 Website used in Crypt0L0cker distribution sample 2 Website used in Crypt0L0cker distribution sample 3 Website used in Crypt0L0cker distribution sample 4

Należy pamiętać, że w czasie pisania, nie były znane narzędzia umożliwiające odszyfrowanie plików zaszyfrowanych przez Crypt0l0cker bez płacenia okupu (spróbuj przywrócić pliki z kopii w tle). Stosując się do tej instrukcji usuwania, będzie można usunąć to ransomware z komputera, jednak pliki pozostaną dotknięte szyfrowaniem. Zaktualizujemy ten artykuł, jak tylko pojawi się więcej dostępnych informacji dotyczących deszyfrowania osłabionych plików.

Crypt0L0cker ransomware removal:

Natychmiastowe automatyczne usunięcie malware: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
 ▼ POBIERZ Combo Cleaner Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Użytkownicy Windows 8: Uruchom Windows 8 w Trybie awaryjnym z obsługą sieci: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane Crypt0L0cker. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.


Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware Crypt0L0cker).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki Crypt0L0cker.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty Crypt0L0cker są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij na niego prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez Crypt0L0cker możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

 Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programu o nazwie CryptoPrevent. (CryptoPrevent sztucznie implementuje obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak Crypt0L0cker.)

cryptoprevent screenshot

Inne narzędzia znane z usuwania Crypt0L0cker:

Źródło: https://www.pcrisk.com/removal-guides/8930-crypt0l0cker-virus

▼ Pokaż dyskusję

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

O nas

PCrisk to portal bezpieczeństwa cybernetycznego, informujący internautów o najnowszych zagrożeniach cyfrowych. Nasze artykuły są tworzone przez ekspertów ds. bezpieczeństwa i profesjonalnych badaczy złośliwego oprogramowania. Przeczytaj więcej o nas.

Instrukcje usuwania w innych językach
Jak zapobiec infekcji
Przewodnik po nowych narzędziach do usuwania wirusów
Top narzędzia usuwania wirusów
Kod QR
Crypt0L0cker (ransomware) kod QR
Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania Crypt0L0cker (ransomware) na swoim urządzeniu mobilnym.
Polecamy:

Usuń infekcje malware na Windows już dzisiaj:

▼ USUŃ TO TERAZ
Pobierz Combo Cleaner

Platforma: Windows

Ocena redaktora dla Combo Cleaner:
Ocena redaktoraZnakomita!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.