Як видалити вірус CryptoWall і відновити файли

Зміст

CryptoWall ще один шкідливий вірус-вимагач, який вражає операційні системи Windows, є оновленою версією вірусу-здирника CryptoDefense. Як і годиться "дитині", він зберіг свої початкові можливості, а також деякі нові. CryptoWall шифрує всі ваші файли і тримає їх заблокованими, і немає можливості використовувати їх, поки ви не заплатите запитуваний викуп. CryptoWall може шифрувати всі відомі типи файлів (документи, PDF, фотографії, відео тощо) на всіх підключених накопичувачах або місцях. Це означає, що він може заразити (зашифрувати) всі файли на локальному або мережевому диску (дисках), навіть у хмарних системах зберігання даних (наприклад, Google Drive, Dropbox, Box тощо). Криптостіна робить це, додаючи стійке шифрування (RSA 2048) до кожного файлу. Простими словами, ви більше не зможете відкрити - або працювати з - вашими файлами.

Після Криптостіна зараження, вірус створює на кожній зараженій папці декілька файлів з іменем D ECRYPT_INSTRUCTION.txt , РОЗШИФРУВАТИ_ІНСТРУКЦІЮ.html і DECRYPT_INSTRUCTION.url які містять вказівки щодо сплати викупу для розшифрування зашифрованих файлів шляхом виконання певної процедури за допомогою інтернет-браузера Tor.

На сьогоднішній день, на жаль, це не так. Cryptowall s викуп встановлений у розмірі 500$ (у біткоїнах), якщо ви заплатите його у встановлений термін, в іншому випадку викуп буде збільшено до 1000$. Після оплати хакери вишлють вам ваш приватний ключ дешифрування, який нібито може розшифрувати ваші файли. Проблема полягає в тому, що навіть якщо ви заплатите викуп, ви не можете бути впевнені, що ваші файли будуть відновлені. Єдина гарантія - це те, що ваші гроші потраплять до якогось хакера.які будуть продовжувати робити те ж саме з іншими жертвами.

Повний текст CryptoWall Інформаційне повідомлення полягає в наступному:

“

Що сталося з вашими файлами?
Всі ваші файли були захищені надійним шифруванням за допомогою RSA-2048 з використанням CryptoWall.
Детальніше про ключі шифрування з використанням RSA-2048 можна дізнатися за посиланням: http://en.wikipedia.org/wiki/RSA_(криптосистема)

Що це означає?
Це означає, що структура і дані у ваших файлах безповоротно змінені, ви не зможете з ними працювати, читати або бачити їх,
Це те саме, що втратити їх назавжди, але з нашою допомогою ви можете їх відновити.

Як це сталося?
Спеціально для Вас на нашому сервері була згенерована секретна ключова пара RSA-2048 - відкритий і закритий.
Всі ваші файли були зашифровані відкритим ключем, який був переданий на ваш комп'ютер через Інтернет.
Розшифровка ваших файлів можлива тільки за допомогою закритого ключа і програми розшифровки, яка знаходиться на нашому секретному сервері.

Що робити?
На жаль, якщо Ви не вживете необхідних заходів протягом зазначеного часу, то умови отримання особистого ключа будуть змінені.
Якщо ви дійсно цінуєте свої дані, то пропонуємо вам не витрачати дорогоцінний час на пошук інших рішень, оскільки їх не існує.

Для отримання більш конкретних інструкцій, будь ласка, відвідайте Вашу персональну домашню сторінку, нижче є кілька різних адрес, що вказують на Вашу сторінку:
1. https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2. https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3. https://kpa2i8ycr9jxqwilp.onion.to/xxxx
Якщо з якихось причин адреси недоступні, виконайте наступні дії:
1.Завантажити та встановити tor-браузер: http://www.torproject.org/projects/torbrowser.html.en 2.Після успішного встановлення запустити браузер та дочекатися ініціалізації.
3.наберіть в адресному рядку: kpa2i8ycr9jxqwilp.onion/xxxx
4.дотримуйтесь інструкцій на сайті.

ВАЖЛИВУ ІНФОРМАЦІЮ:
Ваша персональна сторінка: kpa2i8ycr9jxqwilp.torexplorer.com /xxxx
Ваша персональна сторінка (за ТЗ): kpa2i8ycr9jxqwilp.onion/xxxx
Ваш особистий ідентифікаційний номер (якщо ви відкриваєте сайт (або ТЗ) безпосередньо): xxxx

Дивіться також: Як видалити облікові дані в Інтернеті або Windows в Windows 10/11.

“

Як запобігти зараженню CryptoWall.

Обережність - це завжди найбезпечніший спосіб зберегти ваш комп'ютер неушкодженим. Ви повинні бути дуже обережними, коли відкриваєте невідомий електронний лист, особливо якщо такий лист містить фальшиве повідомлення (наприклад, "Повідомлення про виключення UPS") або вкладення файлів .EXE, .SCR або .ZIP. Ви повинні бути обережними на шахрайських сайтах, які пропонують вам встановити програмне забезпечення, яке вам нібито потрібно, і НЕ ВСТАНОВЛЮВАТИ таке програмне забезпечення. Найкращий спосіб - цеДля боротьби з усіма видами шкідливих програм необхідно завжди мати чисту та найсвіжішу резервну копію важливих файлів, що зберігаються на іншому носії (наприклад, на зовнішньому USB-накопичувачі, DVD-диску тощо). У такому випадку ви зможете спочатку продезінфікувати комп'ютер, а потім відновити всі файли з чистої резервної копії.
Інформація: Для цього я використовую надійну розумну і БЕЗКОШТОВНУ (для особистого користування) програму резервного копіювання "SyncBackFree". Детальну статтю про те, як використовувати SyncBackFree для резервного копіювання важливих файлів, можна знайти тут. Технічний персонал корпоративної мережі може використовувати програму для створення образів дисків (наприклад, "Acronis True Image") для створення резервних копій стану робочих станцій (або серверів) в заплановані моменти часу. При цьому, відновлюючиПроцес набагато простіший і швидший і обмежується лише обсягом пам'яті, який ви маєте в своєму розпорядженні в результаті процесу візуалізації.

Як повернути файли після зараження Cryptowall.

На жаль, БЕЗКОШТОВНОГО інструменту або методу розшифровки зашифрованих Cryptowall файлів НЕ ІСНУЄ (на момент написання цієї статті - наприкінці червня 2014 року). Тому єдині варіанти, які у вас є, щоб повернути свої файли, - це наступні:

Перший варіант - сплатити викуп*, після чого ви отримаєте від зловмисників ваш приватний інструмент для розшифровки ваших файлів.
* Примітка: Якщо ви вирішили заплатити викуп, ви повинні зробити це на свій страх і ризик, адже злочинці - не найнадійніші люди в світі. Другий варіант - продезінфікувати комп'ютер, а потім відновити файли з чистої резервної копії (якщо вона у вас є). Нарешті, якщо у вас операційна система Windows 8, 7 або Vista і у вас встановлена програма "Антивірус", ви можете скористатися програмою "Антивірус". Відновлення системи " не була відключена у вашій системі (наприклад, після вірусної атаки), то після дезінфекції системи ви можете спробувати відновити ваші файли в попередніх версіях з " Тіньові копії "(Про те, як це зробити, див. нижче в цій статті).

Як видалити вірус Cryptowall і відновити файли з тіньових копій.

Частина 1. як видалити Інфекція криптовалюти.

Увага! Якщо ви хочете видалити Криптостіна Видаляючи інфекцію з вашого комп'ютера, ви повинні розуміти, що ваші файли залишаться зашифрованими, навіть якщо ви знезаразите комп'ютер від цього шкідливого програмного забезпечення.

ЩЕ РАЗ: НЕ ПРОДОВЖУЙТЕ ВИДАЛЯТИ ВІРУС-ШИФРУВАЛЬНИК ЯКЩО:

У ВАС Є ЧИСТА РЕЗЕРВНА КОПІЯ ВАШИХ ФАЙЛІВ, ЯКА ЗБЕРІГАЄТЬСЯ В ІНШОМУ МІСЦІ (наприклад, на відключеному від мережі портативному жорсткому диску).

ВАМ НЕ ПОТРІБНІ ЗАШИФРОВАНІ ФАЙЛИ, ТОМУ ЩО ВОНИ НЕ НАСТІЛЬКИ ВАЖЛИВІ ДЛЯ ВАС.

ВИ ХОЧЕТЕ СПРОБУВАТИ ВІДНОВИТИ СВОЇ ФАЙЛИ З ВИКОРИСТАННЯМ ФУНКЦІЇ ТІНЬОВИХ КОПІЙ (частина 2 цієї публікації).

Отже, якщо ви прийняли остаточне рішення, то приступайте, для початку, до усунення Криптостіна зараження комп'ютера вірусом-здирником, а потім спробувати відновити ваші файли, дотримуючись наведеної нижче процедури:

Крок 1: Запустіть комп'ютер у "Безпечному режимі з підключенням до мережі"

Для цього,

1. вимкніть комп'ютер.

2. увімкніть комп'ютер (Увімкнути) і, коли ваш комп'ютер завантажиться, увімкніть його, преса " F8 " до появи логотипу Windows.

3. За допомогою стрілок клавіатури виберіть пункт " Безпечний режим з мережею " та натисніть "Enter".

Крок 2. Зупиніть і видаліть запущені процеси Cryptowall за допомогою RogueKiller.

RogueKiller антивірусне програмне забезпечення, призначене для виявлення, зупинки та видалення типових шкідливих програм та деяких сучасних загроз, таких як руткіти, троянські програми, черв'яки тощо.

1. завантажити і заощаджувати Утиліта "RogueKiller" на Вашому комп'ютері'* (наприклад, на Робочому столі)

Зауважте: Завантажити версія x86 або X64 відповідно до версії Вашої операційної системи. Щоб дізнатися версію Вашої операційної системи, " Клацніть правою кнопкою миші " на значку вашого комп'ютера, виберіть " Властивості " і подивіться на " Тип системи "розділ.

2. подвійний клік бігти RogueKiller.

3. Дочекайтеся завершення попереднього сканування, а потім прочитайте і " Прийняти " ліцензійні умови.

4. Натисніть кнопку " Сканування " для перевірки комп'ютера на наявність шкідливих загроз та шкідливих автозавантажувальних записів.

5. Нарешті, коли повне сканування буде завершено, натисніть кнопку "Видалити" щоб видалити всі знайдені шкідливі елементи.

6. Закрити “ RogueKiller " і переходимо до наступного кроку.

Крок 3: Видаліть зараження Cryptowall за допомогою Malwarebytes Anti-Malware Free .

Завантажити і встановлювати одна з найнадійніших БЕЗКОШТОВНИХ антивірусних програм на сьогоднішній день для очищення комп'ютера від решти шкідливих загроз. Якщо ви хочете залишатися постійно захищеними від існуючих і майбутніх загроз, ми рекомендуємо вам встановити Malwarebytes Anti-Malware Premium:

Захист від MalwarebytesTM
Видаляє шпигунські, рекламні та шкідливі програми.
Почніть безкоштовне завантаження зараз!

Швидке завантаження та інструкція по установці:

Після переходу за вищевказаним посиланням необхідно натиснути на кнопку " Почніть безкоштовну 14-денну пробну версію ", щоб розпочати завантаження.

Для встановлення БЕЗКОШТОВНА версія цього дивовижного продукту, зніміть галочку з пункту " Увімкніть безкоштовну пробну версію Malwarebytes Anti-Malware Premium " на останньому екрані інсталяції.

Скануйте та очищайте комп'ютер за допомогою Malwarebytes Anti-Malware.

1. Біжи! Malwarebytes Anti-Malware" і дозвольте програмі оновитися до останньої версії та бази даних шкідливих програм, якщо це необхідно.

2. Після завершення процесу оновлення натисніть кнопку " Сканувати зараз ", щоб почати перевірку системи на наявність шкідливих і небажаних програм.

3. Тепер зачекайте, поки Malwarebytes Anti-Malware закінчить сканування комп'ютера на наявність шкідливого програмного забезпечення.

Дивіться також: Видалення браузерного перенаправлення сайту Aartemis Portal, викрадача

4. Після завершення сканування спочатку натисніть кнопку " Карантин для всіх " для видалення всіх знайдених загроз.

5. Зачекайте, поки Malwarebytes Anti-Malware видалить всі інфекції з вашої системи, а потім перезавантажте комп'ютер (якщо це вимагається програмою), щоб повністю видалити всі активні загрози.

6. Після перезавантаження системи, знову запустіть антивірус Malwarebytes переконатися, що у вашій системі не залишилося жодних інших загроз.

Частина 2. Як відновити зашифровані Cryptowall файли з тіньових копій.

Після того, як ви знезаразили свій комп'ютер від Криптостіна то настав час спробувати відновити ваші файли до стану, який був до зараження. Для цього є 2 (два) способи:

Спосіб 1 Відновлення зашифрованих Cryptowall файлів за допомогою функції Windows "Відновлення попередніх версій".

Спосіб 2 Відновлення зашифрованих Cryptowall файлів за допомогою утиліти Shadow Explorer.

Увага: Ця процедура працює тільки на останніх версіях операційних систем (Windows 8, 7 і Vista) і тільки в тому випадку, якщо Відновлення системи не була раніше відключена на зараженому комп'ютері.

Спосіб 1: Як відновити зашифровані Cryptowall файли за допомогою функції "Попередні версії".

1. Перейдіть до папки або файлу, який потрібно відновити в попередньому стані і клацніть правою кнопкою миші на ньому.

2. У випадаючому меню виберіть " Відновлення попередніх версій ". *

3. Потім виберіть конкретну версію папки або файлу і натисніть кнопку :

“ Відкрито ", щоб переглянути вміст цієї папки/файлу. Прийом. ", щоб скопіювати цю папку/файл в інше місце на вашому комп'ютері (наприклад, на зовнішній жорсткий диск). Відновити ", щоб відновити файл папки в колишнє місце і замінити існуючий.

Спосіб 2: Як відновити зашифровані Cryptowall файли за допомогою утиліти "Shadow Explorer".

ShadowExplorer є безкоштовною заміною для Попередні версії функція операційної системи Microsoft Windows Vista, 7 і 8, і ви можете використовувати її для відновлення втрачених або пошкоджених файлів з Тіньові копії .

1. Завантажити утиліту ShadowExplorer можна тут (або завантажити Інсталятор ShadowExplorer або Портативна версія програми).

2. Біжи ShadowExplorer а потім виберіть дату, за яку ви хочете відновити тіньову копію вашої папки/файлів.

3. Тепер перейдіть до папки/файлу, який ви хочете відновити до попередньої версії, клацніть правою кнопкою миші на ньому і виберіть " Експорт ”.