CryptoWall-virus
CryptoWall-viruksen poistaminen
Mikä CryptoWall on?
CryptoWall-kiristysvirus tunkeutuu käyttäjien käyttöjärjestelmiin saastuneiden sähköpostiviestien ja valelatausten (kuten tekaistujen Flash-päivitysten ja haitallisten videosoittimien) kautta. Onnistuneen asentumisen jälkeen tämä haittaohjelma salaa käyttäjän koneella olevat tiedostot (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg jne.) ja vaatii 500 dollarin lunnaiden maksamista (Bitcoineina) salauksen poistamiseksi. Haittaohjelman julkaisemisesta vastuussa olevat verkkorikolliset ovat varmistaneet, että se toimii kaikissa Windowsin versioissa (Windows XP, Windows Vista, Windows 7 ja Windows 8). CryptoWall-kiristyshaittaohjelma luo jokaiseen kansioon, jossa on salattuja tiedostoja, HELP_DECRYPT.PNG-, HELP_DECRYPT.HTML- ja HELP_DECRYPT.TXT-nimiset tiedostot.
Näissä tiedostoissa on ohjeet tiedostojen salauksen poistamiseksi ja Tor-selaimen (anonyymi verkkoselain) käyttämiseksi. Verkkorikolliset käyttävät Toria henkilöllisyytensä piilottamiseen. Tietokoneenkäyttäjien tulee ymmärtää, että vaikka itse tartunta on melko helppo poistaa, on tämän haittaohjelman salaamien tiedostojen salauksen (RSA 2048 -salaus) purkaminen mahdotonta ilman maksun maksamista. Tutkimuksen aikoihin CryptoWallin salaamien tiedostojen salauksen poistoon ei ollut työkaluja tai ratkaisuja. Huomaa, että tiedostojen salauksen poistoon vaadittavaa yksityistä avainta säilytetään CryptoWallin komentopalvelimilla, jotka ovat verkkorikollisten hallinnassa. Täten ihanteellinen ratkaisu on poistaa kiristysvirus ja palauttaa tiedot tämän jälkeen varmuuskopiosta.
Kuvakaappaus viestistä, joka löytyy tiedostoista HELP_DECRYPT.PNG, HELP_DECRYPT.HTML ja HELP_DECRYPT.TXT:
Kuvakaappauksissa CryptoWall 3.0 HELP_DECRYPT.PNG, HELP_DECRYPT.HTML ja HELP_DECRYPT.TXT:
CryptoWallin tyyliset ransomware-tartunnat (kuten CryptoDefense, CryptorBit ja Cryptolocker) ovat erinomainen syy pitää tallennetusta datasta varmuuskopioita. Huomaa, että kiristyshaittaohjelman vaatiman maksun maksaminen vastaa rahan lähettämistä suoraan verkkorikollisille – se tukee rikollista toimintatapaa, eikä tiedostojen salauksen purkamisesta ole silti mitään takeita. Vältä tällaiset ransomware-tartunnat olemalla varovainen avatessasi sähköpostiviestejä, sillä verkkorikolliset käyttävät niissä houkuttelevia otsikoita saadakseen käyttäjät avaamaan saastuneet sähköpostin liitetiedostot. Tutkimuksen perusteella verkkorikolliset käyttävät myös P2P-verkkoja ja valelatauksia, joihin sisältyvät ransomware-tartunnat edistävät CryptoWallin leviämistä.
Tiedostoissa HELP_DECRYPT.PNG, HELP_DECRYPT.HTML ja HELP_DECRYPT.TXT esiintyvä viesti:
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048 using CryptoWall. More information about the encryption keys using RSA-2048 can be found here: en.wikipedia.org/wiki/RSA_(crypto system)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. All your files were encrypted with the public key, which has been transferred to your computer via the Internet. Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed. If you really value your data, then we suggest you do not waste valuable time searching for the solutions because they do not exist.
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: hxxp://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: kpai7ycr7jxqkilp.onion/3koe
4. Follow the instructions on the site.
Päivitys 2. lokakuuta 2014 – verkkorikolliset ovat päivittäneet CryptoWall-kiristysvirusta, joka tunnetaan nyt nimellä CryptoWall 2.0.Vaikka ransomwaren ydinkohdat ovat muuttamattomia, ovat verkkorikolliset toteuttaneet seuraavat päivitykset:
- CryptoWall 2.0:n julkaisseet verkkorikolliset käyttävät nyt omia Web-to-TOR-yhdyskäytäviä (pay2tor.com, tor2pay.com, pay4tor.com ja tor4pay.com) – tämän avulla he pystyvät piiloutumaan viranomaisilta.
- CryptoWall 2.0 luo jokaiselle uhrille ainutlaatuisen bitcoin-maksuosoitteen (alkuperäisessä versiossa kaikkia saastuneita tietokoneita kohden oli ainoastaan yksi osoite).
- Uusi versio poistaa alkuperäiset tiedostot – uhrit eivät siis enää voi käyttää datanpalautustyökaluja salattujen tiedostojensa palauttamiseen.
Kuvakaappaus CryptoWall 2.0 -ransomwaresta:
Päivitys 14. tammikuuta 2014 – verkkorikolliset ovat julkaisseet kiristysohjelmasta uuden CryptoWall 3.0 -version (piilottaa C&C-yhteydenpidon I2P-anonyymiverkon kanssa – luo tiedostot HELP_DECRYPT.PNG, HELP_DECRYPT.HTML ja HELP_DECRYPT.TXT jokaiseen kansioon, jossa on salattuja tiedostoja):
Kuvakaappaus CryptoWallin levitykseen käytettävästä saastuneesta sähköpostiviestistä:
Saastuneissa sähköpostiviesteissä oleva englanninkielinen teksti:
From: UPS Quantum View [auto-notify (at) ups.com]
Subject: UPS Exception Notification, Tracking Number 1Z522A9A6892487822Discover more about UPS: Visit ups.com
At the request of the shipper, please be advised that delivery of the following shipment has been rescheduled.Important Delivery Information
Tracking Number: 1Z522A9A6892487822
Rescheduled Delivery Date: 14-April-2014
Exception Reason: THE CUSTOMER WAS NOT AVAILABLE ON THE 1ST ATTEMPT. A 2ND ATTEMPT WILL BE MADE PACKAGE WILL BE DELIVERED NEXT BUSINESS DAY.
Shipment Detail: 1Z522A9A6892487822
Kuvakaappaus CryptoWallin maksusivusta:
CryptoWall-maksusivulla näytettävä viesti:
Decrypt service
Your files are encrypted.
To get the key to decrypt files you have to pay 500 USD/EUR. If payments is not made before [date] the cost of decrypting files will increase 2 times and will be 1000 USD/EUR Prior to increasing the amount left: [count down timer]
We are present a special software - CryptoWall Decrypter - which is allow to decrypt and return control to all your encrypted files. How to buy CryptoWall decrypter?
1. You should register Bitcoin waller
2. Purchasing Bitcoins - Although it's not yet easy to buy bit coins, it's getting simpler every day.
3. Send 1.22 BTC to Bitcoin address: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Enter the Transaction ID and select amount.
5. Please check the payment information and click "PAY".
Kirjoittamisen aikaan ei ollut olemassa ainuttakaan työkalua, joka kykenisi purkamaan CryptoWallin tekemän salauksen ilman lunnasrahan maksamista. Noudattamalla tämän poisto-oppaan ohjeita, voit poistaa ransomwaren tietokoneeltasi, mutta tiedostot pysyvät silti salattuina. Päivitämme tätä artikkelia heti, kun tiedostojen salauksen purkamisesta on saatavilla lisätietoa.
CryptoWall-viruksen poistaminen:
Pikavalikko:
- Mikä CryptoWall on?
- VAIHE 1. CryptoWall-viruksen poistaminen Vikasietotila ja verkkoyhteydet -tilassa.
- VAIHE 2. CryptoWall-ransomwaren poistaminen järjestelmän palauttamisen avulla.
1. vaihe
Windows XP ja Windows 7 -käyttäjät: Käynnistä tietokoneesi Vikasietotilassa. Klikkaa Käynnistä, Sammuta, Käynnistä uudelleen ja lopuksi OK. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, josta voit valita kohdan Vikasietotila ja verkkoyhteydet.
Video, joka näyttää miten Windows 7 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:
Windows 8 -käyttäjät: Käynnistä Windows 8 Vikasietotila ja verkkoyhteydet -tilaan – mene Windows 8 -aloitusnäyttöön, kirjoita Lisäasetukset ja valitse tuloksista Asetukset. Klikkaa Käynnistyksen lisäasetukset -vaihtoehtoa ja valitse aukeavasta "Yleiset tietokoneasetukset" -ikkunasta Käynnistyksen lisäasetukset. Klikkaa "Käynnistä uudelleen nyt" -painiketta. Tietokoneesi käynnistyy Käynnistyksen lisäasetukset -valikkoon. Klikkaa "Vianmääritys" -painiketta ja sen jälkeen "Lisäasetukset" -painiketta. Valitse lisäasetusten näytöstä "Käynnistyksen asetukset". Klikkaa "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen asetukset -näyttöön. Paina F5 käynnistääksesi Vikasietotila ja verkkoyhteydet -tilassa.
Video, joka näyttää miten Windows 8 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:
2. vaihe
Kirjaudu sisään tilille, johon CryptoWall-virus on tarttunut. Käynnistä verkkoselaimesi ja lataa luotettava viruksentorjuntaohjelma. Päivitä vakoiluntorjuntaohjelmisto ja käynnistä täysi järjestelmän skannaus. Poista kaikki löytyneet ongelmat.
▼ Lataa CryptoWall 3.0 (HELP_DECRYPT virus) poistotyökalu
Lataamalla tällä sivulla mainittuja ohjelmistoja, sitoudut meidän käyttöehtoomme ja tietosuojakäytäntöömme. Kaikki suosittelemamme tuotteet ovat testattuja ja hyväksyttyjä meidän teknikkojen toimesta ja todettu olevan tehokkaimmat ratkaisut näitten uhkien poistamiseen.
Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan, yritä suorittaa järjestelmän palautus.
Video, jossa näytetään, miten ransomware-virus poistetaan "Vikasietotila ja komentorivi" ja "Järjestelmän palautus" -toiminnoilla:
1. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, valitse sieltä kohta Vikasietotila ja komentorivi ja paina enteriä.
2. Kun komentorivitila on latautunut, kirjoita siihen "cd restore" ja paina enteriä.
3. Kirjoita seuraavaksi rstrui.exe ja paina enteriä.
4. Napsauta avautuvassa ikkunassa "Seuraava".
5. Valitse yksi saatavilla olevista palautuspisteistä ja klikkaa "Seuraava" (tämä palauttaa järjestelmän aikaisempaan ajankohtaan, jolloin CryptoWall-virus ei ollut vielä asentunut tietokoneelle).
6. Valitse avautuvassa ikkunassa "Kyllä".
7. Kun olet palauttanut tietokoneesi aikaisempaan ajankohtaan, lataa suositeltu haittaohjelmien poisto-ohjelmisto ja skannaa tietokoneesi poistaaksesi jäljelle jääneet CryptoWall-tiedostot.
Kokeile käyttää Windowsin Aiemmat versiot -toimintoa yksittäisten salattujen tiedostojen palauttamiseksi. Tämä menetelmä toimii ainoastaan, mikäli Järjestelmän palautus -toiminto on ollut käytössä saastuneessa käyttöjärjestelmässä. Huomaa, että jotkin CryptoWallin versiot poistavat palautukseen käytettävät tiedostojen kopiot, joten menetelmä ei toimi kaikilla tietokoneilla.
Palauttaaksesi tiedoston napsauta sitä hiiren kakkospainikkeella, valitse Ominaisuudet ja sen jälkeen Palauta aiemmat versiot -välilehti. Jos tiedostolla on palautuspiste, valitse se ja napsauta "Palauta"-painiketta.
Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan (tai komentorivitilaan), käynnistä tietokoneesi palautuslevyn avulla. Jotkin kiristysohjelman versiot estävät Vikasietotilan käytön, mikä vaikeuttaa niiden poistamista. Tätä toimenpidettä varten tarvitset toisen tietokoneen
Voit kokeilla myös Shadow Explorer -nimistä ohjelmaa saadaksesi CryptoWallin salaamat tiedostot palautettua. Lisätietoa ohjelman käytöstä on saatavilla täältä.
Suojaa tietokoneesi tällaisilta salausmenetelmiä käyttäviltä ransomwareilta käyttämällä hyvämaineisia viruksen- ja vakoiluntorjuntaohjelmia. Lisäsuojana käyttäjät voivat hyödyntää CryptoPrevent -nimistä ohjelmistoa. (CryptoPrevent lisää rekisteriin keinotekoisesti ryhmäkäytäntöobjekteja CryptoWallin ja muiden haittaohjelmien toiminnan estämiseksi.)
Muita työkaluja, jotka kykenevät poistamaan CryptoWall-kiristyshaittaohjelman:
Lähde: https://www.pcrisk.com/removal-guides/7844-cryptowall-virus
▼ Näytä kommentit