'Your personal files are encrypted'-virus

Muita nimiä: Critroni ransomware tai CTB-Locker
Tyyppi: Ransomware
Leviäminen: Matala
Riskitaso: Vakava

"Your personal files are encrypted" -viruksen poistaminen

Mikä "Your personal files are encrypted" (Critroni-kiristysohjelma) on?

Critroni-kiristysvirus tunkeutuu käyttäjien käyttöjärjestelmiin saastuneiden sähköpostiviestien ja valelatausten (kuten tekaistujen Flash-päivitysten ja haitallisten videosoittimien) kautta. Onnistuneen asentumisen jälkeen tämä haittaohjelma salaa käyttäjän koneella olevat tiedostot (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg jne.) ja vaatii 300 dollarin lunnaiden maksamista (Bitcoineina) salauksen poistamiseksi (salattujen tiedostojen pääte on .ctbl). Haittaohjelman julkaisemisesta vastuussa olevat verkkorikolliset ovat varmistaneet, että se toimii kaikissa Windowsin versioissa (Windows XP, Windows Vista, Windows 7 ja Windows 8). Critroni-kiristyshaittaohjelma luo jokaiseen kansioon, jossa on salattuja tiedostoja AllFilesAreLocked.bmp-, DecryptAllFiles.txt- ja [seitsemän satunnaista kirjainta].html-nimiset tiedostot.

Näissä tiedostoissa on ohjeet tiedostojen salauksen poistamiseksi ja Tor-selaimen (anonyymi verkkoselain) käyttämiseksi. Verkkorikolliset käyttävät Toria henkilöllisyytensä piilottamiseen. Tietokoneenkäyttäjien tulee ymmärtää, että vaikka itse tartunta on melko helppo poistaa, on tämän haittaohjelman salaamien tiedostojen salauksen (RSA 2048 -salaus) purkaminen mahdotonta ilman maksun maksamista. Tutkimuksen aikoihin Critronin salaamien tiedostojen salauksen poistoon ei ollut työkaluja tai ratkaisuja. Huomaa, että tiedostojen salauksen poistoon vaadittavaa yksityistä avainta säilytetään Critronin komentopalvelimilla, jotka ovat verkkorikollisten hallinnassa. Täten ihanteellinen ratkaisu on poistaa kiristysvirus ja palauttaa tiedot tämän jälkeen varmuuskopiosta.

Your personal files are encrypted -ransomware (citroni)

Critronin tyyliset ransomware-tartunnat (kuten CryptoWall, CryptoDefense, CryptorBit ja Cryptolocker) ovat erinomainen syy pitää tallennetusta datasta varmuuskopioita. Huomaa, että kiristyshaittaohjelman vaatiman maksun maksaminen vastaa rahan lähettämistä suoraan verkkorikollisille – se tukee rikollista toimintatapaa, eikä tiedostojen salauksen purkamisesta ole silti mitään takeita. Vältä tällaiset ransomware-tartunnat olemalla varovainen avatessasi sähköpostiviestejä, sillä verkkorikolliset käyttävät niissä houkuttelevia otsikoita saadakseen käyttäjät avaamaan saastuneet sähköpostin liitetiedostot (esim. "UPS Exception Notification" tai "FedEx Delivery Failure Notification"). Tutkimuksen perusteella verkkorikolliset käyttävät myös P2P-verkkoja ja valelatauksia, joihin sisältyvät ransomware-tartunnat edistävät Critronin leviämistä. Tällä hetkellä "Your personal files are encrypted" -ransomware toimitetaan englannin- ja venäjänkielisenä, joten ne maat, joissa näitä kieliä puhutaan, ovat haittaohjelmaa levittävien verkkorikollisten ensisijaisia kohteita.

Päivitys 20. tammikuuta 2015 – verkkorikolliset ovat julkaisseet päivitetyn version CTB-Lockerista, jonka kohteita ovat USA, Italia, Alankomaat ja Saksa. Tämä variantti leviää pääasiassa tekaistujen faksi-ilmoitusviestien saastuneiden liitetiedostojen kautta. Verkkorikolliset ovat myös pidentäneet aikaa, minkä kuluessa uhrien pitää maksaa lunnaat tiedostojen palauttamiseksi, 72-tunnista 96-tuntiin:

ctb locker hollanniksi ctb locker saksaksi ctb locker italiaksi ctb locker englanniksi

AllFilesAreLocked.bmp-, DecryptAllFiles.txt- ja [7 satunnaista kirjainta].html-tiedostoissa oleva viesti:

Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. If you see the main locker window, follow the instructions on the locker. Otherwise, it's seems that you or your antivirus deleted the locker program. Now you have the last chance to decrypt your files.

1. Type the address hxxp://torproject.org in your Internet browser.
   It opens the Tor site.

2. Press 'Download Tor', then press 'DOWNLOAD Tor Browser Bundle',
   install and run it.

3. Now you have Tor Browser. In the Tor Browser open the hxxp://zaxseiufetlkwpeu.onion
   Note that this server is available via Tor Browser only.
   Retry in 1 hour if site is not reachable.

4. Copy and paste the following public key in the input form on server. Avoid missprints.
436VPT-XI445Z-X4CFSL-MPOT6U-PQL2TK-74RNAQ-XYCCWO-ADYDL6
27UGA3-4YIAVP-IF3TTK-YGXGAI-3FATAX-SFK2XJ-VMELOS-YQNMI7
Q456FO-OVG476-FXKES2-TIAVXZ-ME2RLY-OWBKKV-L7EWNS-KYSWLB
5. Follow the instructions on the server.

Kuvakaappaus "Your personal files are encrypted" -ransomwaren levitykseen käytettävästä saastuneesta sähköpostiviestistä:

Your personal files are encrypted -ransomwaren (citroni) levittäminen spämmiviestien avulla

Saastuneissa sähköpostiviesteissä oleva englanninkielinen teksti:

Subject: UPS notification
From: United Parcel Service (0511notify (at) ups.com)

 Dear Customer,

 

    This is a follow-up on your package delivery (tracking number 0p2uYq5RIho). The package contained in the above-mentioned shipment was not accepted at the destination address. Please contact your local UPS office and produce the printed delivery sticker, included in this email attachment. Please note that in case of a failure to contact your local UPS office within 21 days the parcel will be returned to sender.

 

    Happy to serve you,
    UPS.com

    This is automatically generated delivery status email, please do to reply to it.

Kuvakaappaus AllFilesAreLocked.bmp-tiedostosta:

citroni allfilesarelocked bmp

Kuvakaappaus DecryptAllFiles.txt-tiedostosta:

citroni decryptallfiles txt

Kuvakaappaus [seitsemän satunnaista kirjainta].html-tiedostosta:

citroni decrypt html-tiedosto

"Your personal files are encrypted" -ransomwaren maksusivu:

citroni-ransomwaren maksusivu

 "Your personal files are encrypted" -ransomwaren maksusivulla oleva viesti:

Payment required.
Server accepts payments in Bitcoin (BTC) only.
1. Pay amount of 0.2 BTC (about of 24 USD) to address - Bitcoin wallet address.
2. Transaction will take about 15-30 minutes to confirm.
Decryption will start automatically. Do not: power off computer, run antivirus program, disable Internet connection. Failures during key recovery and file decryption may lead to accidental damage of files. If you have no Bitcoins press ‘Exchange’.

Critronin valuutanvaihtosivu:

citroni-ransomwaren bitcoin-valuutanvaihtosivu

Huom.: kirjoittamisen aikaan ei ollut olemassa ainuttakaan työkalua, joka kykenisi purkamaan Critronin tekemän salauksen ilman lunnasrahan maksamista. Noudattamalla tämän poisto-oppaan ohjeita, voit poistaa ransomwaren tietokoneeltasi, mutta tiedostot pysyvät silti salattuina. Päivitämme tätä artikkelia heti, kun tiedostojen salauksen purkamisesta on saatavilla lisätietoa.

Critroni-viruksen poistaminen:

Pikavalikko:

1. vaihe

Windows XP ja Windows 7 -käyttäjät: Käynnistä tietokoneesi Vikasietotilassa. Klikkaa Käynnistä, Sammuta, Käynnistä uudelleen ja lopuksi OK. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, josta voit valita kohdan Vikasietotila ja verkkoyhteydet.

Vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 7 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

Windows 8 -käyttäjät: Käynnistä Windows 8 Vikasietotila ja verkkoyhteydet -tilaan – mene Windows 8 -aloitusnäyttöön, kirjoita Lisäasetukset ja valitse tuloksista Asetukset. Klikkaa Käynnistyksen lisäasetukset -vaihtoehtoa ja valitse aukeavasta "Yleiset tietokoneasetukset" -ikkunasta Käynnistyksen lisäasetukset. Klikkaa "Käynnistä uudelleen nyt" -painiketta. Tietokoneesi käynnistyy Käynnistyksen lisäasetukset -valikkoon. Klikkaa "Vianmääritys" -painiketta ja sen jälkeen "Lisäasetukset" -painiketta. Valitse lisäasetusten näytöstä "Käynnistyksen asetukset". Klikkaa "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen asetukset -näyttöön. Paina F5 käynnistääksesi Vikasietotila ja verkkoyhteydet -tilassa.

Windows 8 vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 8 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

2. vaihe

Kirjaudu sisään tilille, johon Critroni-virus on tarttunut. Käynnistä verkkoselaimesi ja lataa luotettava viruksentorjuntaohjelma. Päivitä vakoiluntorjuntaohjelmisto ja käynnistä täysi järjestelmän skannaus. Poista kaikki löytyneet ongelmat.

▼ Lataa Critroni ransomware tai CTB-Locker poistotyökalu

Lataamalla tällä sivulla mainittuja ohjelmistoja, sitoudut meidän käyttöehtoomme ja tietosuojakäytäntöömme. Kaikki suosittelemamme tuotteet ovat testattuja ja hyväksyttyjä meidän teknikkojen toimesta ja todettu olevan tehokkaimmat ratkaisut näitten uhkien poistamiseen.

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan, yritä suorittaa järjestelmän palautus.

Video, jossa näytetään, miten ransomware-virus poistetaan "Vikasietotila ja komentorivi" ja "Järjestelmän palautus" -toiminnoilla:

1. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, valitse sieltä kohta Vikasietotila ja komentorivi ja paina enteriä.

Käynnistä tietokoneesi Vikasietotila ja komentorivi -tilaan

2. Kun komentorivitila on latautunut, kirjoita siihen "cd restore" ja paina enteriä.

järjestelmän palautus komentorivin cd restore -komennolla

3. Kirjoita seuraavaksi rstrui.exe ja paina enteriä.

järjestelmän palautus komentorivin rstrui.exe-komennolla

4. Napsauta avautuvassa ikkunassa "Seuraava".

järjestelmän tiedostojen ja asetusten palautus

5. Valitse yksi saatavilla olevista palautuspisteistä ja klikkaa "Seuraava" (tämä palauttaa järjestelmän aikaisempaan ajankohtaan, jolloin Critroni ei ollut vielä asentunut tietokoneelle).

valitse palautuspiste

6. Valitse avautuvassa ikkunassa "Kyllä".

suorita järjestelmän palautus

7. Kun olet palauttanut tietokoneesi aikaisempaan ajankohtaan, lataa suositeltu haittaohjelmien poisto-ohjelmisto ja skannaa tietokoneesi poistaaksesi jäljelle jääneet Critroni-tiedostot.

Kokeile käyttää Windowsin Aiemmat versiot -toimintoa yksittäisten salattujen tiedostojen palauttamiseksi. Tämä menetelmä toimii ainoastaan, mikäli Järjestelmän palautus -toiminto on ollut käytössä saastuneessa käyttöjärjestelmässä. Huomaa, että jotkin Critronin versiot poistavat tiedostojen tilannevedoskopiot, joten menetelmä ei välttämättä toimi kaikilla tietokoneilla.

Palauttaaksesi tiedoston napsauta sitä hiiren kakkospainikkeella, valitse Ominaisuudet ja sen jälkeen Palauta aiemmat versiot -välilehti. Jos tiedostolla on palautuspiste, valitse se ja napsauta "Palauta"-painiketta.

CryptoDefensen salaamien tiedostojen palauttaminen

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan (tai komentorivitilaan), käynnistä tietokoneesi palautuslevyn avulla. Jotkin kiristysohjelman versiot estävät Vikasietotilan käytön, mikä vaikeuttaa niiden poistamista. Tätä toimenpidettä varten tarvitset toisen tietokoneen.

Muita työkaluja, jotka kykenevät poistamaan Critroni-kiristyshaittaohjelman:

Lähde: https://www.pcrisk.com/removal-guides/8120-your-personal-files-are-encrypted-virus