Wirus Crypt0L0cker
Napisany przez Tomasa Meskauskasa, (zaktualizowany)
Instrukcje usuwania ransomware Crypt0L0cker
Czym jest Crypt0L0cker?
Crypt0L0cker to infekcja ransomware, która infiltruje komputery użytkowników za pomocą zainfekowanych załączników wiadomości e-mail (najczęściej tematy wiadomości są następujące: "śledzenie przesyłki", "nadmierna prędkość", "niezapłacona faktura" itp.). Zauważ, że cyberprzestępcy zlokalizowali te spamowe wiadomości e-mail, aby wyglądały na bardziej uzasadnione. Na przykład użytkownicy komputerów znajdujących się w Wielkiej Brytanii otrzymają fałszywą wiadomość e-mail twierdzącą, że śledzi paczkę z Royal Mail. Użytkownicy komputerów z Australii otrzymają wiadomość z Australia Post itd. Po udanej infiltracji ransomware szyfruje pliki na komputerze ofiary i żąda zapłaty okupu 2,2 Bitcoin za odszyfrowanie ich. Ransomware Crypt0l0cker szyfruje wszystkie pliki znajdujące się na komputerze ofiary z wyjątkiem .html, .inf, .manifest, .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe, .avi, .wav, .mp3, .gif, .ico, .png, .bmp i .txt (plików niezbędnych do prawidłowej pracy systemu Windows).
Pomyślnie zaszyfrowane pliki otrzymują prefiks .encrypted. W każdym folderze zawierającym zaszyfrowane pliki Crypt0l0cker zapisuje pliki DECRYTP_INSTRUCTIONS.html i DECRYPT_INSTRUCTIONS.txt z instrukcjami jak zapłacić okup. To ransomware jest przeznaczony dla użytkowników komputerów z Australii, Kanady, Austrii Czech, Włoch, Irlandii, Francji, Niemiec, Holandii, Korei, Tajlandii, Nowej Zelandii, Hiszpanii, Turcji i Wielkiej Brytanii. Jest to zaktualizowany wariant ransomware wcześniej znanego jako TorrentLocker. Cyberprzestępcy odpowiedzialni za stworzenie ransomware Crypt0l0cker używają sieci Tor do zbierania płatności okupu od swoich ofiar. Sieć TOR zapewnia, że ich tożsamość i miejsce pozostają anonimowe.
Infekcje ransomware, takie jak Crypt0L0cker (w tym CryptoWall, TeslaCrypt i CTB-Locker) stanowią silny argument, aby regularne tworzyć kopie zapasowe przechowywanych danych. Należy pamiętać, że płacenie okupu żądanego przez to ransomware jest równoznaczne z wysłaniem pieniędzy na cyberprzestępców - będzie wspierać ich model biznesowy i nie ma gwarancji, że pliki zostaną kiedykolwiek odszyfrowane. Aby uniknąć zainfekowania swojego komputera ransomware takim jak to, wyraź ostrożność podczas otwierania wiadomości e-mail.
Nazwa | Crypt0L0cker (ransomware) |
Typ zagrożenia | Ransomware, wirus szyfrowania, blokada plików |
Objawy | Nie można otworzyć plików przechowywanych na twoim komputerze, wcześniej działające pliki mają teraz inne rozszerzenia, na przykład my.docx.locked. Na twoim pulpicie wyświetlana jest wiadomość z żądaniem okupu. Cyberprzestępcy żądają zapłaty okupu (zwykle Bitcoinach) za odblokowanie twoich plików. |
Metody dystrybucji | Zainfekowane załączniki e-mail (makra), strony z torrentami, złośliwe reklamy. |
Zniszczenie | Wszystkie pliki są zaszyfrowane i nie mogą zostać otworzone bez zapłacenia okupu. Dodatkowe hasło kradnących trojanów i infekcji malware może być zainstalowane razem z infekcją ransomware. |
Usuwanie | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Cyberprzestępcy wykorzystują różne chwytliwe tytuły, aby oszukać użytkowników komputerów do otwarcia zainfekowanych załączników e-mail. Zauważ, że w momencie pisania tego artykułu nie były dostępne żadne narzędzia do odszyfrowania plików dotkniętych ransomware Crypt0locker bez płacenia okupu.
Cyberprzestępcy przetłumaczyli ransomware Crypt0l0cker na różne języki, aby kierować je różne kraje. Tutaj jest przykładem tego ransomware skierowanego do użytkowników komputerów PC z Korei:
Zrzut ekranu pliku DECRYTP_INSTRUCTIONS.html:
Tekst prezentowany w pliku DECRYTP_INSTRUCTIONS.html:
OSTRZEŻENIE Zaszyfrowaliśmy pliki wirusem Crypt0L0cker. Twoje ważne pliki (w tym na dyskach sieciowych, USB etc.): zdjęcia, filmy, dokumenty itp. zostały zaszyfrowane za pomocą naszego wirusa Crypt0L0cker. Jedynym sposobem, aby uzyskać pliki z powrotem jest zapłacenie nam. W przeciwnym wypadku, pliki zostaną utracone. Uwaga: Usuwanie Crypt0L0cker nie przywróci dostępu do zaszyfrowanych plików.
Zrzut ekranu pliku DECRYPT_INSTRUCTIONS.txt:
Tekst prezentowany w pliku DECRYTP_INSTRUCTIONS.html:
!!! ZASZYFROWALIŚMY TWOJE PLIKI WIRUSEM CRYPT0L0CKER !!!
Co się stało z moimi plikami? Twoje ważne pliki: zdjęcia, filmy, dokumenty itp. zostały zaszyfrowane za pomocą naszego wirusa Crypt0L0cker. Wirus ten wykorzystuje bardzo silny algorytm szyfrowania - RSA-2048. Złamanie algorytmu szyfrowania RSA-2048 nie jest możliwe bez specjalnego klucza deszyfrowania. Jak mogę dostać moje pliki z powrotem? Twoje pliki są teraz bezużyteczne i nieczytelne, możesz to zweryfikować próbując je otworzyć. Jedynym sposobem, aby przywrócić je do normalnego stanu jest użycie specjalnego oprogramowania do deszyfrowania. Możesz kupić takie oprogramowanie deszyfrowania na naszej stronie internetowej.
Strona internetowa (dostępna za pośrednictwem sieci Tor) wykorzystywana przez cyberprzestępców do zbierania okupu (2.2 BTC):
Przykłady zainfekowanych wiadomości e-mail używanych w dystrybucji ransomware Crypt0L0cker:
Przykłady nieuczciwych stron internetowych wykorzystywanych w dystrybucji ransomware Crypt0L0cker:
Należy pamiętać, że w czasie pisania, nie były znane narzędzia umożliwiające odszyfrowanie plików zaszyfrowanych przez Crypt0l0cker bez płacenia okupu (spróbuj przywrócić pliki z kopii w tle). Stosując się do tej instrukcji usuwania, będzie można usunąć to ransomware z komputera, jednak pliki pozostaną dotknięte szyfrowaniem. Zaktualizujemy ten artykuł, jak tylko pojawi się więcej dostępnych informacji dotyczących deszyfrowania osłabionych plików.
Crypt0L0cker ransomware removal:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest Crypt0L0cker?
- KROK 1. Usuwanie ransomware Crypt0L0cker przy użyciu Trybu awaryjnego z obsługą sieci.
- KROK 2. Usuwanie ransomware Crypt0L0cker przy użyciu Odzyskiwania systemu.
Krok 1
Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.
Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Użytkownicy Windows 8: Uruchom Windows 8 w Trybie awaryjnym z obsługą sieci: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":
Krok 2
Zaloguj się na konto zainfekowane Crypt0L0cker. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.
Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.
Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":
1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.
2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.
3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.
4. W otwartym oknie kliknij przycisk "Dalej".
5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware Crypt0L0cker).
6. W otwartym oknie kliknij przycisk "Tak".
7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki Crypt0L0cker.
Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty Crypt0L0cker są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.
Aby przywrócić plik, kliknij na niego prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".
Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.
Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez Crypt0L0cker możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.
Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programu o nazwie CryptoPrevent. (CryptoPrevent sztucznie implementuje obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak Crypt0L0cker.)
Inne narzędzia znane z usuwania Crypt0L0cker:
Źródło: https://www.pcrisk.com/removal-guides/8930-crypt0l0cker-virus
▼ Pokaż dyskusję