Съдържание
CryptoWall е друг неприятен ransomware вирус, който заразява операционните системи Windows, и е актуализираната версия на ransomware вируса CryptoDefense. Като добро "дете" той запазва първоначалните си способности, както и някои нови. CryptoWall криптира всичките ви файлове и ги държи заключени, без да можете да ги използвате, докато не платите искания откуп. CryptoWall може да криптира всички познати типове файлове (документи, PDF, снимки, видеоклипове и др.) на всички свързани дискове или места за съхранение. Това означава, че може да зарази (криптира) всички файлове на локалния или мрежовия диск (дискове), дори в системите за съхранение в облака (например Google Drive, Dropbox, Box и др.). Cryptowall прави това, като добавя силно криптиране (RSA 2048) за всеки файл. С прости думи, вече не можете да отваряте или да работите с файловете си.
След Cryptowall заразяване, вирусът създава няколко файла във всяка заразена папка с име D ECRYPT_INSTRUCTION.txt , DECRYPT_INSTRUCTION.html , и DECRYPT_INSTRUCTION.url които съдържат указания как да се плати откупът, за да се декриптират криптираните файлове, като се следва определена процедура с помощта на интернет браузъра Tor.
Сайтът Cryptowall' откупът е определен на 500 USD (в BitCoins), ако го платите в крайния срок, в противен случай откупът ще бъде увеличен на 1000 USD. след плащането хакерите ще ви изпратят личния ключ за декриптиране, който - предполагаемо - може да декриптира файловете ви. проблемът тук е, че дори да платите откупа, не можете да сте сигурни, че файловете ви ще бъдат възстановени. единствената гаранция е, че парите ви ще отидат при някой хакеркоито ще продължат да правят същото с други жертви.
Пълният CryptoWall информационното съобщение е следното:
“
Какво се е случило с вашите файлове?
Всички ваши файлове са защитени със силно криптиране с RSA-2048 с помощта на CryptoWall.
Повече информация за ключовете за криптиране с RSA-2048 можете да намерите тук: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Какво означава това?
Това означава, че структурата и данните във вашите файлове са безвъзвратно променени и няма да можете да работите с тях, да ги четете или да ги виждате,
това е все едно да ги загубите завинаги, но с наша помощ можете да ги възстановите.
Как се случи това?
Специално за вас на нашия сървър е генерирана двойка секретни ключове RSA-2048 - публичен и частен.
Всичките ви файлове са били криптирани с публичния ключ, който е бил прехвърлен на компютъра ви чрез интернет.
Декриптирането на файловете ви е възможно само с помощта на частния ключ и програмата за декриптиране, която се намира на нашия секретен сървър.
Какво да правя?
Уви, ако не предприемете необходимите мерки за определеното време, условията за получаване на частния ключ ще бъдат променени.
Ако наистина цените данните си, предлагаме ви да не губите ценно време в търсене на други решения, защото те не съществуват.
За по-конкретни инструкции, моля, посетете личната си начална страница, като по-долу има няколко различни адреса, които сочат към вашата страница:
1. https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2. https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3. https://kpa2i8ycr9jxqwilp.onion.to/xxxx
Ако по някакви причини адресите не са налични, следвайте следните стъпки:
1.Изтеглете и инсталирайте tor-browser: http://www.torproject.org/projects/torbrowser.html.en 2.След успешна инсталация стартирайте браузъра и изчакайте да се инициализира.
3.Въведете в адресната лента: kpa2i8ycr9jxqwilp.onion/xxxx
4.Следвайте инструкциите в сайта.
ВАЖНА ИНФОРМАЦИЯ:
Вашата лична страница: kpa2i8ycr9jxqwilp.torexplorer.com /xxxx
Вашата лична страница (използвайки TOR): kpa2i8ycr9jxqwilp.onion/xxxx
Вашият личен идентификационен номер (ако отворите сайта (или TOR) директно): xxxx
“
Как да предотвратим заразяването с CryptoWall.
- Предпазливостта винаги е най-сигурният начин да запазите компютъра си невредим. Трябва да сте много внимателни, когато отваряте непознато електронно писмо, особено ако такова писмо съдържа фалшиво известие (например "UPS Exception Notification") или прикачени файлове с разширения .EXE, .SCR или .ZIP. Трябва да сте внимателни в сайтове за измами, които ви подканват да инсталирате софтуер, от който уж се нуждаете, и НЕ ИНСТАЛИРАЙТЕ такъв софтуер. Най-добрият начинда се справяте с всички видове зловреден софтуер, е винаги да имате чисто и възможно най-ново резервно копие на важните си файлове, съхранено на друг НЕЗАВИСИМ (изключен от електрическата мрежа) носител (например външен USB твърд диск, DVD ROM и т.н.). Ако направите това, можете първо да дезинфекцирате компютъра си и след това да възстановите всички файлове от чистото резервно копие.
Информация: За тази задача използвам надежден интелигентен и БЕЗПЛАТЕН (за лична употреба) софтуер за архивиране, наречен "SyncBackFree". Подробна статия за това как да използвате SyncBackFree за архивиране на важни файлове можете да намерите тук. Техниците на корпоративни мрежи могат да използват софтуер за създаване на дискови изображения (като "Acronis True Image"), за да правят резервни копия на работни станции (или сървъри) по график. По този начин възстановяванетоПроцесът е много по-лесен и бърз и се ограничава само от наличното място за съхранение от процеса на създаване на изображения.
Как да възстановите файловете си след заразяване с Cryptowall.
За съжаление, безплатен инструмент или метод за декриптиране на криптирани от Cryptowall файлове НЕ СЪЩЕСТВУВА (до деня на написване на тази статия - края на юни 2014 г.). Така че единствените възможности, с които разполагате, за да възстановите файловете си, са следните:
- Първият вариант е да платите откупа*. След това ще получите от престъпниците личния си инструмент за декриптиране, за да декриптирате файловете си.
* Забележка: Ако решите да платите откупа, трябва да го направите на свой риск. Престъпниците не са най-надеждните хора на света. Вторият вариант е да дезинфекцирате компютъра си и след това да възстановите файловете си от чисто резервно копие (в случай че разполагате с такова). И накрая, ако имате операционна система Windows 8, 7 или Vista и се появи " Възстановяване на системата " не е била деактивирана във вашата система (например след вирусна атака), след дезинфекция на системата можете да опитате да възстановите файловете си в предишни версии от " Сенчести копия ". (Вижте по-долу в тази статия как да направите това).
Как да премахнете вируса Cryptowall и да възстановите файловете си от сенчестите копия.
Част 1. Как да премахнете Инфекция с Cryptowall.
Внимание : Ако искате да премахнете Cryptowall от компютъра ви, трябва да осъзнаете, че файловете ви ще останат криптирани, дори ако дезинфекцирате компютъра си от този неприятен зловреден софтуер.
ОЩЕ ВЕДНЪЖ: НЕ ПРОДЪЛЖАВАЙТЕ ДА ОТСТРАНЯВАТЕ ВИРУС CRYPTOWALL БЕЗ:
ИМАТЕ ЧИСТА БЪКЪПНА КОПИЯ НА ВАШИТЕ ФИЛМИ, СЪХРАНЯВАНА НА РАЗЛИЧНО МЯСТО (например изключен преносим твърд диск).
or
НЕ СЕ НУЖДАЕТЕ ОТ КРИПТИРАНИТЕ ФАЙЛОВЕ, ЗАЩОТО ТЕ НЕ СА ТОЛКОВА ВАЖНИ ЗА ВАС.
or
Искате ли да опитате да възстановите файловете си, като използвате функцията за копия на сенки (част 2 от тази публикация).
Така че, ако сте взели окончателното си решение, пристъпете към премахване на Cryptowall ransomware инфекция от компютъра ви и след това да се опитате да възстановите файловете си, като следвате процедурата по-долу:
Стъпка 1: Стартирайте компютъра си в "Безопасен режим с работа в мрежа"
За целта,
1. Изключете компютъра си.
2. Стартирайте компютъра си (Включване на захранването) и докато компютърът се зарежда, натиснете " F8 ", преди да се появи логото на Windows.
3. Със стрелките на клавиатурата изберете " Безопасен режим с работа в мрежа " и натиснете "Enter".
Стъпка 2. Спрете и изтрийте работещите процеси на Cryptowall с RogueKiller.
RogueKiller е програма за борба със зловреден софтуер, предназначена за откриване, спиране и премахване на общи зловредни програми и някои усъвършенствани заплахи, като руткитове, рууткитове, червеи и др.
1. Изтегляне и спаси "RogueKiller" на вашия компютър'* (напр. на работния плот)
Известие*: Изтегляне версия x86 или X64 За да намерите версията на операционната си система, " Кликнете с десния бутон на мишката " на иконата на вашия компютър, изберете " Имоти " и погледнете към " Тип на системата " раздел.
2. Кликнете два пъти да се изпълнява RogueKiller.
3. Изчакайте, докато приключи предварителното сканиране, и след това прочетете и " Приемане на " условията на лиценза.
4. Натиснете бутона " Сканиране ", за да сканирате компютъра си за злонамерени заплахи и злонамерени стартиращи записи.
5. И накрая, когато пълното сканиране приключи, натиснете бутона "Изтриване" за да премахнете всички намерени зловредни елементи.
6. Затвори “ RogueKiller " и продължете към следващата стъпка.
Стъпка 3. Премахване на инфекцията Cryptowall с Malwarebytes Anti-Malware Free .
Изтегляне и инсталиране на една от най-надеждните БЕЗПЛАТНИ програми за борба със злонамерен софтуер днес, за да почистите компютъра си от останалите злонамерени заплахи. Ако искате да сте постоянно защитени от заплахи от злонамерен софтуер, съществуващи и бъдещи, ви препоръчваме да инсталирате Malwarebytes Anti-Malware Premium:
Защита от MalwarebytesTM
Премахва шпионски, рекламен и злонамерен софтуер.
Започнете безплатното си изтегляне сега! 
Бързо изтегляне и инструкции за инсталиране:
- След като кликнете върху горната връзка, натиснете бутона " Започнете моя безплатен 14-пробен период ", за да започнете изтеглянето.
- За да инсталирате БЕЗПЛАТНА версия на този невероятен продукт, махнете отметката от " Активиране на безплатна пробна версия на Malwarebytes Anti-Malware Premium " в последния екран за инсталиране.
Сканирайте и почистете компютъра си с Malwarebytes Anti-Malware.
1. Работете " Malwarebytes Anti-Malware" и позволете на програмата да се актуализира до най-новата си версия и злонамерена база данни, ако е необходимо.
2. Когато процесът на актуализация приключи, натиснете " Сканиране сега ", за да започнете да сканирате системата си за зловреден софтуер и нежелани програми.
3. Сега изчакайте, докато Malwarebytes Anti-Malware завърши сканирането на компютъра ви за зловреден софтуер.
4. Когато сканирането приключи, първо натиснете " Карантина на всички ", за да премахнете всички намерени заплахи.
5. Изчакайте, докато Malwarebytes Anti-Malware премахне всички инфекции от вашата система, и след това рестартирайте компютъра (ако това се изисква от програмата), за да премахнете напълно всички активни заплахи.
6. След рестартиране на системата, стартирайте отново Malwarebytes' Anti-Malware за да проверите дали в системата ви няма други заплахи.
Част 2. Как да възстановите криптираните файлове на Cryptowall от сенчестите копия.
След като сте дезинфекцирали компютъра си от Cryptowall Тогава е време да се опитате да възстановите файловете си в състоянието им преди заразяването. Има два (2) метода за това:
Метод 1 : Възстановяване на криптираните от Cryptowall файлове с помощта на функцията на Windows "Възстановяване на предишни версии".
Метод 2 : Възстановяване на криптираните файлове на Cryptowall с помощта на инструмента "Shadow Explorer".
Внимание: Тази процедура работи само с най-новите операционни системи (Windows 8, 7 и Vista) и само ако Възстановяване на системата функцията не е била деактивирана преди това на заразения компютър.
Метод 1: Как да възстановите криптираните файлове на Cryptowall, като използвате функцията "Предишни версии".
1. Навигирайте до папката или файла, който искате да възстановите в предишно състояние, и щракване с десния бутон на мишката върху върху него.
2. От падащото меню изберете " Възстановяване на предишни версии ". *
3. След това изберете конкретна версия на папка или файл и натиснете бутона :
- “ Отворете ", за да видите съдържанието на тази папка/файл. " Копие ", за да копирате тази папка/файл на друго място на компютъра си (например на външния твърд диск). Възстановяване на ", за да възстановите файла на папката на същото място и да замените съществуващия.
Метод 2: Как да възстановите криптираните от Cryptowall файлове с помощта на помощната програма "Shadow Explorer".
ShadowExplorer , е безплатна замяна на Предишни версии на операционните системи Microsoft Windows Vista, 7 и 8 и можете да го използвате за възстановяване на изгубени или повредени файлове от Сенчести копия .
1. Изтеглете помощната програма ShadowExplorer от тук. (Можете да изтеглите Инсталатор на ShadowExplorer или Преносима версия на програмата).
2. Изпълнявайте ShadowExplorer и след това изберете датата, на която искате да възстановите сенчестото копие на папката/файловете.
3. Сега отидете до папката/файла, който искате да възстановите до предишната му версия, щракване с десния бутон на мишката върху върху него и изберете " Експорт ”.
4. Накрая посочете къде ще бъде експортирано/записано сенчестото копие на папката/файла (напр. на работния плот) и натиснете " OK ”.
Късмет!
Анди Дейвис
Блог на системен администратор за Windows
