Table of contents
CryptoWall 是另一个感染Windows操作系统的讨厌的勒索病毒,它是CryptoDefense勒索病毒的更新版本。 作为一个好的 "孩子",它保留了其原有的能力,以及一些新的能力。 CryptoWall 它加密了你的所有文件并将它们锁住,除非你支付赎金,否则没有办法使用它们。 CryptoWall 这意味着它可以感染(加密)本地或网络驱动器上的所有文件,甚至是云存储系统(如Google Drive、Dropbox、Box等)中的文件。 密码墙 简单地说,你无法再打开或使用你的文件。
之后 密码墙 感染后,病毒会在每个受感染的文件夹上创建几个文件,名为D ECRYPT_INSTRUCTION.txt , DECRYPT_INSTRUCTION.html ,以及 DECRYPT_INSTRUCTION.url 其中包含如何支付赎金的说明,以便通过使用Tor互联网浏览器按照特定程序解密被加密的文件。
ǞǞǞ Cryptowall'。 如果你在最后期限内支付赎金,赎金被设定为500美元(比特币),否则赎金将增加到1000美元。 付款后,黑客将向你发送私人解密密钥,据说可以解密你的文件。 这里的问题是,即使你支付赎金,你也不能确定你的文件会被恢复。 唯一的保证是,你的钱会被一些黑客拿走。将继续对其他受害者做同样的事情。
全文 CryptoWall 信息消息如下。
“
你的文件发生了什么?
你的所有文件都受到使用CryptoWall的RSA-2048强加密的保护。
关于使用RSA-2048的加密密钥的更多信息可以在这里找到:http://en.wikipedia.org/wiki/RSA_(cryptosystem)
这是什么意思?
这意味着你的文件中的结构和数据已被不可逆转地改变,你将无法使用它们,阅读它们或看到它们。
这与永远失去它们是一回事,但在我们的帮助下,你可以恢复它们。
这怎么会发生呢?
特别是为你,在我们的服务器上生成了RSA-2048秘密密钥对--公共和私人的。
你的所有文件都是用公钥加密的,公钥已通过互联网传输到你的电脑。
只有在私人密钥和解密程序的帮助下,才能解密你的文件,而私人密钥和解密程序就在我们的秘密服务器上。
我应该怎么做?
唉,如果你不在规定的时间内采取必要的措施,那么获得私钥的条件将被改变。
如果你真的重视你的数据,那么我们建议你不要浪费宝贵的时间去寻找其他的解决方案,因为它们并不存在。
更具体的说明,请访问你的个人主页,下面有几个不同的地址指向你的页面。
1. https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2. https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3. https://kpa2i8ycr9jxqwilp.onion.to/xxxx
如果由于某些原因,这些地址无法使用,请按照以下步骤操作。
1.下载并安装tor-browser: http://www.torproject.org/projects/torbrowser.html.en 2.安装成功后,运行浏览器并等待初始化。
3.在地址栏输入:kpa2i8ycr9jxqwilp.onion/xxxx
4.遵循网站上的指示。
重要信息。
您的个人页面: kpa2i8ycr9jxqwilp.torexplorer.com /xxxx
你的个人页面(使用TOR):kpa2i8ycr9jxqwilp.onion/xxxx
你的个人识别号码(如果你直接打开网站(或TOR's)): xxxx
“
如何预防CryptoWall的感染。
- 谨慎永远是保持你的电脑不受伤害的最安全的方法。 当你打开一个未知的电子邮件时,你必须非常小心,特别是当这样的电子邮件包含一个假的通知(如 "UPS异常通知")或.EXE、.SCR或.ZIP文件附件。 你必须小心那些提示你安装你所谓需要的软件的诈骗网站,不要安装这些软件。 最佳方法处理所有类型的恶意软件感染的方法是,始终有一个干净的和尽可能新的重要文件的备份,存储在另一个脱机(不插电)的媒介(如外部USB硬盘,DVD ROM等)。 如果你这样做,你可以首先消毒你的电脑,然后从干净的备份中恢复所有的文件。
信息。 对于这项任务,我使用一个可靠的智能和免费(个人使用)的备份软件 "SyncBackFree"。 关于如何使用SyncBackFree备份你的重要文件的详细文章可以在这里找到。 企业网络技术人员可以使用磁盘成像软件(如 "Acronis True Image")在预定时间对工作站(或服务器)的状态进行图像备份。 通过这样做,恢复这个过程要简单得多,也快得多,而且只受限于你在成像过程中的可用存储空间。
感染Cryptowall后如何找回你的文件。
不幸的是,一个免费的解密工具或解密Cryptowall加密文件的方法并不存在(直到写这篇文章的那天--2014年6月底)。 因此,你唯一的选择是让你的文件回来。
- 第一个选择是支付赎金*。 之后,你会从犯罪分子那里收到你的私人解密工具来解密你的文件。
* 注意。 如果你决定支付赎金,你必须自己承担风险。 犯罪分子不是世界上最值得信任的人。 第二个选择是对你的计算机进行消毒,然后从一个干净的备份中恢复你的文件(如果你有的话)。 最后,如果你的操作系统是Windows 8、7或Vista,并且" 系统还原 在你的系统上没有禁用""功能(例如在受到病毒攻击后),那么在对你的系统进行消毒后,你可以尝试从""恢复你以前版本的文件。 影子副本 "。(关于如何做到这一点,请参见下面这篇文章)。
如何删除Cryptowall病毒并从阴影副本中恢复你的文件。
第1部分:如何删除 Cryptowall感染。
注意 : 如果你想删除 密码墙 你必须认识到,即使你把你的电脑从这个讨厌的恶意软件中消毒出来,你的文件仍然会被加密。
再次强调:不要继续删除 密码墙病毒 除非。
你有一份干净的文件备份,存放在不同的地方(比如一个不插电的移动硬盘驱动器)。
or
你不需要加密的文件,因为它们对你来说不是那么重要。
or
你想试试用阴影副本功能恢复你的文件(本帖第二部分)。
因此,如果你已经做出了最后的决定,那就继续吧,首先要删除 密码墙 从您的计算机中删除赎金软件感染,然后按照以下程序尝试恢复您的文件。
第1步:在 "联网安全模式 "下启动你的电脑
要做到这一点。
1.关闭你的计算机。
2.启动你的电脑 (开机),当你的计算机正在启动时。 按压 的"。 F8 在Windows标志出现之前,按""键。
3. 使用你的键盘箭头,选择" 带网络的安全模式 "选项,并按 "Enter "键。
第2步:用RogueKiller停止并删除Cryptowall运行进程。
流氓杀手 是一个反恶意软件程序,旨在检测、阻止和删除一般的恶意软件和一些高级威胁,如rootkits、rogues、蠕虫等。
1.下载 和 拯救 "RogueKiller "工具在你的电脑上*(例如你的桌面)。
通知*。 下载 版本x86 或 X64 要找到你的操作系统的版本,请点击" 右键点击 ",在你的电脑图标上选择" 财产 ",看看" 系统类型 "部分。
2.双击 运行 RogueKiller。
3. 等到预扫描完成后,再读取和" 接受 "的许可条款。
4. 按" 扫描 "按钮来扫描你的电脑是否有恶意的威胁和恶意的启动项。
5. 最后,当全面扫描完成后,按下 "删除" 按钮来删除所有发现的恶意项目。
6.关闭 “ 流氓杀手 ",并继续进行下一个步骤。
第3步:用Malwarebytes Anti-Malware免费软件删除Cryptowall感染。
下载 和 安装 如果你想持续保护你的电脑免受恶意软件的威胁,包括现有的和未来的,我们建议你安装Malwarebytes Anti-Malware Premium。
MalwarebytesTM保护
清除间谍软件、广告软件和恶意软件。
现在开始免费下载! 
快速下载和安装说明。
- 在你点击上述链接后,在""处按下。 开始我的免费14次试用 "选项,开始下载。
- 要安装 免费版本 这个神奇的产品,取消勾选" 启用Malwarebytes Anti-Malware Premium的免费试用版 在最后一个安装屏幕上的""选项。
使用Malwarebytes反恶意软件扫描和清理您的计算机。
1. 运行" Malwarebytes反恶意软件" 并允许该程序更新到其最新版本和恶意数据库,如果需要的话。
2. 当更新过程完成后,按" 现在扫描 "按钮,开始扫描你的系统,查找恶意软件和不需要的程序。
3. 现在,等待Malwarebytes Anti-Malware完成对您的计算机的恶意软件扫描。
4. 当扫描完成后,首先按" 隔离所有 "按钮来删除所有发现的威胁。
5. 等待,直到Malwarebytes Anti-Malware从您的系统中删除所有感染,然后重新启动您的计算机(如果程序要求),以完全删除所有活动威胁。
6. 在系统重新启动后。 再次运行Malwarebytes的反恶意软件 以验证你的系统中是否还有其他威胁。
第2部分:如何从阴影副本中恢复Cryptowall加密的文件。
在你对你的电脑进行了消毒后,从 密码墙 有两(2)种方法可以做到这一点。
方法一 :使用Windows "恢复以前的版本 "功能恢复Cryptowall加密的文件。
方法二 :使用 "阴影资源管理器 "工具恢复Cryptowall加密的文件。
请注意。 这个程序只在最新的操作系统(Windows 8, 7 & Vista)上运行,并且只有在 系统还原 在被感染的计算机上,该功能以前没有被禁用。
方法1:如何使用 "以前的版本 "功能恢复Cryptowall加密的文件。
1. 导航到你想恢复以前状态的文件夹或文件,然后 右键点击 就可以了。
2. 从下拉菜单中选择" 恢复以前的版本 ". *
3. 然后选择一个特定版本的文件夹或文件,然后按下。
- “ 开放式 "按钮来查看该文件夹/文件的内容。" 拷贝 "把这个文件夹/文件复制到你电脑上的另一个位置(例如你的外部硬盘)。" 恢复 "来恢复文件夹文件到相同的位置并替换现有的文件。
方法2:如何使用 "阴影资源管理器 "工具恢复Cryptowall加密的文件。
ShadowExplorer ,是一个免费的替代品。 以前的版本 丢失或损坏的文件,你可以用它来恢复这些文件,因为它是微软Windows Vista, 7, & 8操作系统。 影子副本 .
1. 从这里下载ShadowExplorer工具。(你可以下载 ShadowExplorer安装程序 或 便携版 的计划)。
2. 运转 ShadowExplorer 实用程序,然后选择你想恢复你的文件夹/文件的阴影副本的日期。
3. 现在导航到你想恢复到以前版本的文件夹/文件。 右键点击 上,并选择" 出口 ”.
4. 最后指定你的文件夹/文件的影子副本将被导出/保存到哪里(例如你的桌面),然后按" "。 OK ”.
好运!。
Andy Davis
A system administrator s blog about Windows
