Kako odstraniti virus CryptoWall in obnoviti datoteke

Kazalo

CryptoWall je še en grd izsiljevalski virus, ki okuži operacijske sisteme Windows in je posodobljena različica izsiljevalskega virusa CryptoDefense. Kot dober "otrok" ohranja svoje prvotne zmožnosti, pa tudi nekatere nove. CryptoWall zašifrira vse vaše datoteke in jih zaklene, zato jih ni mogoče uporabljati, dokler ne plačate zahtevane odkupnine. CryptoWall lahko šifrira vse znane vrste datotek (dokumente, PDF, fotografije, videoposnetke in drugo) na vseh povezanih pomnilniških enotah ali lokacijah. To pomeni, da lahko okuži (šifrira) vse datoteke na lokalnem ali omrežnem disku(-ih), tudi v sistemih za shranjevanje v oblaku (npr. Google Drive, Dropbox, Box itd.). Cryptowall to stori tako, da v vsako datoteko doda močno šifriranje (RSA 2048). Z enostavnimi besedami, svojih datotek ne morete več odpreti ali delati z njimi.

Po spletni strani Cryptowall virus v vsaki okuženi mapi ustvari več datotek z imenom D ECRYPT_INSTRUCTION.txt , DECRYPT_INSTRUCTION.html in DECRYPT_INSTRUCTION.url ki vsebujejo navodila za plačilo odkupnine za dešifriranje šifriranih datotek po posebnem postopku z uporabo spletnega brskalnika Tor.

Spletna stran Cryptowall' odkupnina znaša 500 USD (v BitCoinih), če jo plačate v roku, sicer se odkupnina poveča na 1000 USD. Po plačilu vam bodo hekerji poslali zasebni dešifrirni ključ, s katerim lahko - domnevno - dešifrirate svoje datoteke. težava je v tem, da tudi če plačate odkupnino, ne morete biti prepričani, da bodo vaše datoteke obnovljene. Edino zagotovilo je, da bo vaš denar prejel nek heker.ki bo še naprej delal isto drugim žrtvam.

Celoten CryptoWall informacijsko sporočilo je naslednje:

“

Kaj se je zgodilo z vašimi datotekami ?
Vse vaše datoteke so bile zaščitene z močnim šifriranjem z RSA-2048 s programom CryptoWall.
Več informacij o šifrirnih ključih z uporabo RSA-2048 najdete tukaj: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

Kaj to pomeni?
To pomeni, da so struktura in podatki v vaših datotekah nepreklicno spremenjeni in z njimi ne boste mogli delati, jih brati ali videti,
je enako, kot da bi jih za vedno izgubili, vendar jih lahko z našo pomočjo obnovite.

Kako se je to zgodilo?
Posebej za vas je bil na našem strežniku ustvarjen par tajnih ključev RSA-2048 - javni in zasebni.
Vse vaše datoteke so bile šifrirane z javnim ključem, ki je bil prek interneta prenesen v vaš računalnik.
Dešifriranje datotek je mogoče le s pomočjo zasebnega ključa in programa za dešifriranje, ki je na našem tajnem strežniku.

Kaj naj storim ?
Če v določenem času ne sprejmete potrebnih ukrepov, se pogoji za pridobitev zasebnega ključa spremenijo.
Če res cenite svoje podatke, vam svetujemo, da ne izgubljate dragocenega časa z iskanjem drugih rešitev, saj te ne obstajajo.

Za podrobnejša navodila obiščite svojo osebno domačo stran, spodaj je nekaj različnih naslovov, ki kažejo na vašo stran:
1. https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2. https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3. https://kpa2i8ycr9jxqwilp.onion.to/xxxx
Če naslovi iz različnih razlogov niso na voljo, sledite naslednjim korakom:
1.Prenesite in namestite brskalnik tor: http://www.torproject.org/projects/torbrowser.html.en 2.Po uspešni namestitvi zaženite brskalnik in počakajte na inicializacijo.
3.V naslovno vrstico vnesite: kpa2i8ycr9jxqwilp.onion/xxxx
4.Sledite navodilom na spletnem mestu.

POMEMBNE INFORMACIJE:
Vaša osebna stran: kpa2i8ycr9jxqwilp.torexplorer.com /xxxx
Vaša osebna stran (z uporabo TOR): kpa2i8ycr9jxqwilp.onion/xxxx
Vaša osebna identifikacijska številka (če odprete spletno mesto (ali TOR) neposredno): xxxx

“

Kako preprečiti okužbo s programom CryptoWall.

Previdnost je vedno najvarnejši način, da računalnik ostane nepoškodovan. Zelo previdni morate biti, kadar koli odprete neznano e-poštno sporočilo, zlasti če vsebuje lažno obvestilo (npr. "UPS Exception Notification") ali priponke datotek .EXE, .SCR ali .ZIP. Previdni morate biti na prevarantskih spletnih mestih, ki vas pozivajo k namestitvi programske opreme, ki jo domnevno potrebujete, in take programske opreme NE nameščajte. Najboljši način jeza reševanje vseh vrst okužb z zlonamerno programsko opremo je, da vedno pripravite čisto in čim novejšo varnostno kopijo pomembnih datotek, shranjeno na drugem mediju, ki ni povezan z internetom (npr. zunanji trdi disk USB, DVD ROM itd.). Če to storite, lahko najprej razkužite računalnik in nato obnovite vse datoteke iz čiste varnostne kopije.
Informacije: Za to nalogo uporabljam zanesljivo pametno in BREZPLAČNO (za osebno uporabo) programsko opremo za varnostno kopiranje z imenom "SyncBackFree". Podroben članek o uporabi programa SyncBackFree za varnostno kopiranje pomembnih datotek najdete tukaj. Tehniki za korporativna omrežja lahko uporabijo programsko opremo za slikanje diskov (kot je "Acronis True Image"), da v načrtovanem času naredijo slikovne varnostne kopije stanja delovnih postaj (ali strežnikov). S tem lahko obnovijopostopek je veliko lažji in hitrejši, omejen pa je le s pomnilnikom, ki je na voljo pri postopku slikanja.

Kako po okužbi z virusom Cryptowall dobite svoje datoteke nazaj.

Žal BREZPLAČNO orodje za dešifriranje ali metoda za dešifriranje šifriranih datotek Cryptowall NE OBSTAJA (do dneva pisanja tega članka - konec junija 2014), zato so edine možnosti, ki jih imate na voljo, da dobite svoje datoteke nazaj, naslednje:

Prva možnost je plačilo odkupnine*. Nato boste od kriminalcev prejeli zasebno orodje za dešifriranje, s katerim boste lahko dešifrirali svoje datoteke.
* Opomba: Če se odločite plačati odkupnino, morate to storiti na lastno odgovornost. Zločinci niso najbolj zaupanja vredni ljudje na svetu. Druga možnost je, da razkužite računalnik in nato obnovite datoteke iz čiste varnostne kopije (če jo imate). Če imate operacijski sistem Windows 8, 7 ali Vista in se je v računalniku pojavila " Obnovitev sistema " ni bila onemogočena v vašem sistemu (npr. po napadu virusa), lahko po razkuževanju sistema poskusite obnoviti datoteke v prejšnjih različicah iz " Kopije v senci ". (Kako to storite, si oglejte spodaj v tem članku).

Kako odstraniti virus Cryptowall in obnoviti datoteke iz senčnih kopij.

Del 1. Kako odstraniti Okužba z virusom Cryptowall.

Pozornost : Če želite odstraniti Cryptowall iz računalnika, se morate zavedati, da bodo vaše datoteke ostale šifrirane, tudi če računalnik razkužite pred to zlonamerno programsko opremo.

ŠE ENKRAT: NE ODSTRANJUJTE ŠE NAPREJ VIRUS CRYPTOWALL RAZEN ČE:

ČISTO BACKUP KOPIJO SVOJIH datotek imejte shranjeno na drugem mestu (na primer na odklopljenem prenosnem trdem disku).

ŠIFRIRANIH DATOTEK NE POTREBUJETE, KER ZA VAS NISO TAKO POMEMBNE.

ŽELITE, DA TO POKUŠAMO, DA OBNOVITE SOJE datoteke z uporabo funkcije senčnih kopij (2. del tega prispevka).

Če ste sprejeli končno odločitev, najprej odstranite Cryptowall ransomware okužbe iz računalnika, nato pa poskusite obnoviti svoje datoteke po spodnjem postopku:

1. korak: zaženite računalnik v "Varnem načinu z omrežjem"

To storite tako,

1. Izklopite računalnik.

2. Zagon računalnika (Vklop) in med zagonom računalnika, pritisnite . " F8 ", preden se prikaže logotip Windows.

3. S puščicami na tipkovnici izberite " Varni način z omrežjem " in pritisnite "Enter".

Korak 2. Z RogueKillerjem zaustavite in izbrišite delujoče procese Cryptowall.

RogueKiller je program proti škodljivi programski opremi, namenjen odkrivanju, zaustavljanju in odstranjevanju splošne škodljive programske opreme in nekaterih naprednih groženj, kot so korenski kompleti, zlonamerni programi, črvi itd.

1. Prenesi in . shranite "RogueKiller" na računalniku'* (npr. na namizju).

Obvestilo*: Prenesi različica x86 ali X64 glede na različico operacijskega sistema. Če želite poiskati različico operacijskega sistema, " Desni klik " na ikoni računalnika, izberite " Lastnosti " in si oglejte " Vrsta sistema ".

2. Dvakrat kliknite za zagon RogueKiller.

3. Počakajte, da se predskeniranje konča, nato pa preberite in " Sprejmite " licenčne pogoje.

4. Pritisnite tipko " Skeniranje ", da računalnik pregledate za zlonamerne grožnje in zlonamerne zagonske vnose.

5. Ko je celotno pregledovanje končano, pritisnite tipko "Izbriši" gumb za odstranitev vseh najdenih zlonamernih elementov.

6. Zapri “ RogueKiller " in nadaljujte z naslednjim korakom.

Korak 3. Odstranite okužbo Cryptowall z Malwarebytes Anti-Malware Free .

Prenesi in . namestitev enega najzanesljivejših brezplačnih programov proti zlonamerni programski opremi, s katerim lahko računalnik očistite preostalih zlonamernih groženj. Če želite biti stalno zaščiteni pred obstoječimi in prihodnjimi grožnjami zlonamerne programske opreme, vam priporočamo namestitev programa Malwarebytes Anti-Malware Premium:

Zaščita MalwarebytesTM
Odstranjuje vohunsko programsko opremo, oglasno programsko opremo in škodljivo programsko opremo.
Začnite z brezplačnim prenosom zdaj!

Hitro prenos in navodila za namestitev:

Ko kliknete zgornjo povezavo, pritisnite na " Začnite z brezplačnim preizkusom 14 " za začetek prenosa.

Če želite namestiti Brezplačna različica tega čudovitega izdelka, odstranite kljukico " Omogočite brezplačen preizkus programa Malwarebytes Anti-Malware Premium " na zadnjem zaslonu za namestitev.

Preglejte in očistite računalnik s programom Malwarebytes Anti-Malware.

1. Run " Malwarebytes Anti-Malware" in programu omogočite, da se po potrebi posodobi na najnovejšo različico in zlonamerno zbirko podatkov.

2. Ko je postopek posodabljanja končan, pritisnite gumb " Skeniraj zdaj ", da začnete pregledovati sistem za zlonamerno programsko opremo in neželene programe.

3. Počakajte, da program Malwarebytes Anti-Malware konča pregledovanje računalnika za zlonamerno programsko opremo.

4. Ko je skeniranje končano, najprej pritisnite " Karantena Vse ", da odstranite vse najdene grožnje.

5. Počakajte, da program Malwarebytes Anti-Malware odstrani vse okužbe iz sistema, nato pa znova zaženite računalnik (če to zahteva program), da popolnoma odstranite vse aktivne grožnje.

Poglej tudi: Iz računalnika odstranite oglase WebCake in namizje WebCake.

6. Po ponovnem zagonu sistema, ponovno zaženite program Malwarebytes' Anti-Malware in preverite, ali v sistemu ni drugih groženj.

Del 2. Kako obnoviti šifrirane datoteke Cryptowall iz senčnih kopij.

Ko ste razkužili računalnik pred Cryptowall je čas, da poskusite obnoviti datoteke v stanje pred okužbo. To lahko storite na dva (2) načina:

Metoda 1 : Obnovite šifrirane datoteke Cryptowall z uporabo funkcije "Obnovitev prejšnjih različic" sistema Windows.

Metoda 2 : Obnovite šifrirane datoteke Cryptowall z uporabo pripomočka Shadow Explorer.

Pozornost: Ta postopek deluje le v najnovejših operacijskih sistemih (Windows 8, 7 in Vista) in le, če Obnovitev sistema funkcija ni bila predhodno onemogočena v okuženem računalniku.

Metoda 1: Kako obnoviti šifrirane datoteke Cryptowall z uporabo funkcije "Prejšnje različice".

1. Pojdite do mape ali datoteke, ki jo želite obnoviti v prejšnjem stanju, in z desnim klikom miške kliknite . na njem.

2. V spustnem meniju izberite " Obnovitev prejšnjih različic ". *

3. Nato izberite določeno različico mape ali datoteke in pritisnite tipko :

“ Odpri " za ogled vsebine te mape/datoteke. " Kopiraj " za kopiranje te mape/datoteke na drugo mesto v računalniku (npr. na zunanji trdi disk). " Obnovitev ", da obnovite datoteko mape na isto mesto in zamenjate obstoječo datoteko.

Metoda 2: Kako obnoviti šifrirane datoteke Cryptowall z uporabo pripomočka Shadow Explorer.

ShadowExplorer , je brezplačna zamenjava za Prejšnje različice operacijskih sistemov Microsoft Windows Vista, 7 in 8 ter ga lahko uporabite za obnovitev izgubljenih ali poškodovanih datotek iz Kopije v senci .

1. ShadowExplorer prenesite s tega mesta. (Prenesete lahko Namestitveni program ShadowExplorer ali Prenosna različica programa).

2. Spustite ShadowExplorer in nato izberite datum, na katerega želite obnoviti senčno kopijo mape/datotek.