Come rimuovere il virus CryptoWall e ripristinare i vostri file

Come rimuovere il virus CryptoWall e ripristinare i vostri file

04-01-2023 Malware
Andy Davis

CryptoWall è un altro brutto virus ransomware che infetta i sistemi operativi Windows ed è la versione aggiornata del virus ransomware CryptoDefense. Come un buon 'figlio', mantiene le sue capacità originali, oltre ad alcune nuove. CryptoWall cripta tutti i file e li tiene bloccati e non c'è modo di utilizzarli finché non si paga il riscatto richiesto. CryptoWall è in grado di crittografare tutti i tipi di file conosciuti (documenti, PDF, fotografie, video e altro) su tutte le unità o posizioni di archiviazione collegate. Ciò significa che è in grado di infettare (crittografare) tutti i file presenti sulle unità locali o di rete, anche nei sistemi di archiviazione cloud (ad esempio Google Drive, Dropbox, Box, ecc.). Criptowall Lo fa aggiungendo una crittografia forte (RSA 2048) su ogni file. In parole povere, non è più possibile aprire o lavorare con i propri file.

Dopo Criptowall Il virus crea diversi file in ogni cartella infetta, denominati D ECRYPT_INSTRUCTION.txt , DECRYPT_INSTRUCTION.html , e DECRYPT_INSTRUCTION.url che contengono note su come pagare il riscatto per decriptare i file criptati seguendo una procedura specifica utilizzando Tor Internet Browser.

Il Cripto-muro' Il riscatto è fissato a 500 dollari (in BitCoin), se si paga entro il termine stabilito, altrimenti il riscatto sarà aumentato a 1000 dollari. Dopo il pagamento, gli hacker vi invieranno la chiave di decrittazione privata che - presumibilmente - può decrittare i vostri file. Il problema è che anche se pagate il riscatto, non potete essere sicuri che i vostri file saranno ripristinati. L'unica garanzia è che i vostri soldi andranno a qualche hacker.che continuerà a fare la stessa cosa ad altre vittime.

L'intero CryptoWall Il messaggio informativo è il seguente:

Cosa è successo ai tuoi file?
Tutti i vostri file sono stati protetti da una forte crittografia con RSA-2048 utilizzando CryptoWall.
Ulteriori informazioni sulle chiavi di crittografia che utilizzano RSA-2048 sono disponibili qui: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

Che cosa significa?
Ciò significa che la struttura e i dati all'interno dei file sono stati irrevocabilmente modificati e non sarà più possibile lavorarci, leggerli o vederli,
è come averli persi per sempre, ma con il nostro aiuto è possibile ripristinarli.

Come è successo?
In particolare per voi, sul nostro server è stata generata la coppia di chiavi segrete RSA-2048 - pubblica e privata.
Tutti i vostri file sono stati crittografati con la chiave pubblica, che è stata trasferita al vostro computer via Internet.
La decriptazione dei vostri file è possibile solo con l'aiuto della chiave privata e del programma di decriptazione, che si trova sul nostro server segreto.

Cosa devo fare?
Purtroppo, se non si adottano le misure necessarie per il periodo di tempo specificato, le condizioni per ottenere la chiave privata verranno modificate.
Se tenete davvero ai vostri dati, vi suggeriamo di non sprecare tempo prezioso alla ricerca di altre soluzioni, perché non esistono.

Per istruzioni più specifiche, visitate la vostra home page personale; di seguito sono riportati alcuni indirizzi diversi che puntano alla vostra pagina:
1. https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2. https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3. https://kpa2i8ycr9jxqwilp.onion.to/xxxx
Se per qualche motivo gli indirizzi non sono disponibili, procedere come segue:
1.Scaricare e installare tor-browser: http://www.torproject.org/projects/torbrowser.html.en 2.Dopo un'installazione riuscita, eseguire il browser e attendere l'inizializzazione.
3.Digitare nella barra degli indirizzi: kpa2i8ycr9jxqwilp.onion/xxxx
4. Seguire le istruzioni del sito.

INFORMAZIONI IMPORTANTI:
La tua pagina personale: kpa2i8ycr9jxqwilp.torexplorer.com /xxxx
La tua pagina personale (usando TOR): kpa2i8ycr9jxqwilp.onion/xxxx
Il vostro numero di identificazione personale (se aprite direttamente il sito (o TOR)): xxxx

Come prevenire l'infezione da CryptoWall.

  • La precauzione è sempre il modo più sicuro per non danneggiare il vostro PC. Dovete prestare molta attenzione ogni volta che aprite un'e-mail sconosciuta, soprattutto se questa contiene una falsa notifica (ad esempio "UPS Exception Notification") o allegati di file .EXE, .SCR o .ZIP. Dovete prestare attenzione ai siti di truffa che vi chiedono di installare un software che presumibilmente vi serve e NON INSTALLARE tale software. Il modo miglioreper affrontare tutti i tipi di infezioni da malware è quello di avere sempre un backup pulito e il più recente possibile dei file importanti memorizzati in un altro supporto OFFLINE (non collegato) (ad esempio, un disco rigido USB esterno, un DVD ROM, ecc.). In questo modo, è possibile prima disinfettare il computer e poi ripristinare tutti i file dal backup pulito.
    Info: Per questo compito utilizzo un software di backup affidabile, intelligente e GRATUITO (per uso personale) chiamato "SyncBackFree". Un articolo dettagliato su come utilizzare SyncBackFree per il backup dei file importanti è disponibile qui. I tecnici di rete aziendali possono utilizzare un software di imaging del disco (come "Acronis True Image") per eseguire backup dell'immagine dello stato delle workstation (o dei server) a scadenze programmate. Così facendo, il ripristinoIl processo è molto più semplice e veloce ed è limitato solo dallo spazio di archiviazione disponibile per il processo di imaging.

Come recuperare i file dopo l'infezione di Cryptowall.

Sfortunatamente, uno strumento o un metodo di decriptazione GRATUITO per decriptare i file criptati da Cryptowall NON ESISTE (fino al giorno in cui è stato scritto questo articolo - alla fine di giugno 2014). Quindi le uniche opzioni che avete per recuperare i vostri file sono le seguenti:

  1. La prima opzione è quella di pagare il riscatto*, dopodiché riceverete dai criminali il vostro strumento di decriptazione privato per decriptare i vostri file.
    * Nota: Se decidete di pagare il riscatto, dovete farlo a vostro rischio e pericolo. I criminali non sono le persone più affidabili del mondo. La seconda opzione è quella di disinfettare il computer e poi ripristinare i file da un backup pulito (nel caso ne abbiate uno). Infine, se avete un sistema operativo Windows 8, 7 o Vista e il file " Ripristino del sistema " non è stata disattivata sul sistema (ad esempio dopo un attacco di virus), dopo aver disinfettato il sistema si può provare a ripristinare i file nelle versioni precedenti da " Copie ombra "(vedere più avanti in questo articolo come fare).

Come rimuovere il virus Cryptowall e ripristinare i file dalle copie shadow.

Parte 1. Come rimuovere Infezione da Cryptowall.

Attenzione : Se si desidera rimuovere Criptowall dal computer, è necessario rendersi conto che i file rimarranno crittografati, anche se si disinfetta il computer da questo brutto malware.

ANCORA UNA VOLTA: NON CONTINUARE A RIMUOVERE VIRUS CRYPTOWALL A MENO CHE:

Avere una copia di backup pulita dei propri file conservata in un luogo diverso (ad esempio un disco rigido portatile non collegato).

or

NON AVETE BISOGNO DEI FILE CRITTOGRAFATI PERCHÉ NON SONO COSÌ IMPORTANTI PER VOI.

or

VOLETE PROVARE A RIPRISTINARE I VOSTRI FILE UTILIZZANDO LA FUNZIONE COPIE D'OMBRA (Parte 2 di questo post).

Quindi, se avete preso la vostra decisione definitiva, procedete innanzitutto a rimuovere Criptowall ransomware dal computer e quindi provare a ripristinare i file seguendo la procedura riportata di seguito:

Passo 1: Avviare il computer in "Modalità provvisoria con rete".

Per fare questo,

1. Spegnere il computer.

2. Avviare il computer (Accensione) e, durante l'avvio del computer, stampa il " F8 " prima che appaia il logo di Windows.

3. Utilizzando le frecce della tastiera, selezionare la voce " Modalità provvisoria con collegamento in rete " e premere "Invio".

Passo 2. Fermare ed eliminare i processi in esecuzione di Cryptowall con RogueKiller.

RogueKiller è un programma anti-malware progettato per rilevare, bloccare e rimuovere malware generici e alcune minacce avanzate come rootkit, rogue, worm, ecc.

1. Scaricare e salvare L'utility "RogueKiller" sul computer* (ad esempio sul desktop).

Avviso*: Scaricare versione x86 o X64 In base alla versione del sistema operativo. Per trovare la versione del sistema operativo, " Cliccare con il tasto destro del mouse " sull'icona del computer, scegliere " Proprietà " e guardare " Tipo di sistema sezione ".

2. Fare doppio clic per correre RogueKiller.

3. Attendere il completamento della pre-scansione e leggere e " Accettare " i termini della licenza.

4. Premere il tasto " Scansione " per scansionare il computer alla ricerca di minacce e voci di avvio dannose.

5. Infine, al termine della scansione completa, premere il tasto "Cancellare" per rimuovere tutti gli elementi dannosi trovati.

6. Chiudere RogueKiller " e proseguire con il passo successivo.

Passo 3. Rimuovere l'infezione Cryptowall con Malwarebytes Anti-Malware Free .

Scaricare e installare uno dei programmi anti-malware GRATUITI più affidabili oggi per ripulire il computer dalle restanti minacce dannose. Se volete rimanere costantemente protetti dalle minacce malware, esistenti e future, vi consigliamo di installare Malwarebytes Anti-Malware Premium:

Protezione MalwarebytesTM
Rimuove spyware, adware e malware.
Inizia subito il download gratuito!

Download rapido e istruzioni per l'installazione:

  • Dopo aver cliccato sul link di cui sopra, premere sul pulsante " Iniziare la mia prova gratuita di 14 minuti " per avviare il download.

  • Per installare il Versione gratuita di questo fantastico prodotto, deselezionare la casella " Attivare la prova gratuita di Malwarebytes Anti-Malware Premium " nell'ultima schermata di installazione.

Scansione e pulizia del computer con Malwarebytes Anti-Malware.

1. Eseguire " Malwarebytes Anti-Malware" e consentire al programma di aggiornarsi alla versione più recente e al database dannoso, se necessario.

2. Al termine del processo di aggiornamento, premere il tasto " Scansione ora " per avviare la scansione del sistema alla ricerca di malware e programmi indesiderati.

3. Ora attendete che Malwarebytes Anti-Malware termini la scansione del computer alla ricerca di malware.

4. Al termine della scansione, premere prima il tasto " Quarantena Tutti " per rimuovere tutte le minacce trovate.

5. Attendere che Malwarebytes Anti-Malware rimuova tutte le infezioni dal sistema e quindi riavviare il computer (se richiesto dal programma) per rimuovere completamente tutte le minacce attive.

6. Dopo il riavvio del sistema, eseguire nuovamente Malwarebytes Anti-Malware per verificare che non vi siano altre minacce nel sistema.

Parte 2. Come ripristinare i file criptati da Cryptowall dalle copie shadow.

Dopo aver disinfettato il computer da Criptowall è il momento di provare a ripristinare i file allo stato precedente l'infezione. Esistono due (2) metodi per farlo:

Metodo 1 Ripristinare i file criptati da Cryptowall utilizzando la funzione "Ripristino versioni precedenti" di Windows.

Metodo 2 Ripristinare i file criptati da Cryptowall utilizzando l'utilità "Shadow Explorer".

Attenzione: Questa procedura funziona solo con i sistemi operativi più recenti (Windows 8, 7 e Vista) e solo se il Ripristino del sistema La funzione non è stata precedentemente disabilitata sul computer infetto.

Metodo 1: Come ripristinare i file criptati da Cryptowall utilizzando la funzione "Versioni precedenti".

1. Navigare fino alla cartella o al file che si vuole ripristinare in uno stato precedente e fare clic con il tasto destro del mouse su di esso.

2. Dal menu a discesa selezionare " Ripristino delle versioni precedenti ". *

3. Scegliere quindi una versione particolare della cartella o del file e premere il tasto:

  • Aperto "per visualizzare il contenuto di quella cartella/file". Copia " per copiare questa cartella/file in un'altra posizione del computer (ad esempio il disco rigido esterno)." Ripristino " per ripristinare il file della cartella nella stessa posizione e sostituire quello esistente.


Metodo 2: Come ripristinare i file criptati da Cryptowall utilizzando l'utilità "Shadow Explorer".

Esploratore di ombre è un sostituto gratuito del programma Versioni precedenti di Microsoft Windows Vista, 7 e 8 e si può utilizzare per ripristinare i file persi o danneggiati da un computer. Copie ombra .

1. Scaricare l'utility ShadowExplorer da qui (è possibile scaricare il file Programma di installazione di ShadowExplorer o il Versione portatile del programma).

2. Correre Esploratore di ombre e selezionare la data in cui si desidera ripristinare la copia shadow della cartella/file.

3. A questo punto, spostarsi sulla cartella/file che si desidera ripristinare alla versione precedente, fare clic con il tasto destro del mouse su di esso e selezionare " Esportazione ”.

4. Infine, specificate dove la copia shadow della cartella/file verrà esportata/salvata (ad esempio, sul Desktop) e premete " OK ”.


Buona fortuna!


Andy Davis

Il blog di un amministratore di sistema su Windows

Messaggio precedente Come modificare il comportamento della pagina Nuova scheda del browser
Prossimo post Risolvere il problema di Powershell che ha smesso di funzionare - Guida alla rimozione del virus Poweliks (risolto)
Leave a comment