Crypt0L0cker-virus

Muita nimiä: Crypt0L0cker virus
Tyyppi: Ransomware
Leviäminen: Matala
Riskitaso: Vakava

Crypt0L0cker-kiristysohjelman poistaminen

Mikä Crypt0L0cker on?

Crypt0L0cker on kiristysvirus, joka tunkeutuu käyttäjien tietokoneille saastuneiden sähköpostiviestien välityksellä (useimmiten viestin aihe sisältää jonkin seuraavista: “package tracking”, ”speeding tickets”, “unpaid invoice” jne.). Huomaa, että verkkorikolliset ovat lokalisoineet viestit, jotta ne vaikuttaisivat uskottavimmilta. Esimerkiksi tietokoneenkäyttäjät Isossa-Britanniassa saavat viestejä, joiten väitetään sisältävän Royal Mailin kuljettaman lastin seurantatietoja, PC-käyttäjät Australiassa puolestaan saavat Australia Postin viestejä jne. Onnistuneen asentumisen jälkeen tämä haittaohjelma salaa käyttäjän koneella olevat tiedostot ja vaatii 2,2 Bitcoinin lunnaiden maksamista salauksen poistamiseksi. Crypt0l0cker salaa tietokoneelta kaikki tiedostot seuraavia Windowsin toiminnnan kannalta olennaisia lukuun ottamatta: .html, .inf, .manifest, .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe,  .avi, .wav, .mp3, .gif, .ico, .png, .bmp ja .txt.

Salattuihin tiedostoihin liitetään .encrypted-etuliite, ja jokaiseen salattuja tiedostoja sisältävään kansioon lisätään tiedostot DECRYPT_INSTRUCTIONS.html ja DECRYPT_INSTRUCTIONS.txt, jotka sisältävät ohjeet lunnasrahojen maksamiseksi. Tämä kiristysohjelma on kohdistettu seuraavien maiden asukkaille: Australia, Itävalta, Kanada, Tshekki, Italia, Irlanti, Ranska, Saksa, Alankomaat, Etelä-Korea, Thaimaa, Uusi-Seelanti, Espanja, Turkki ja Yhdistynyt kuningaskunta. Se on aiemmin nimellä TorrentLocker tunnetun haittaohjelman päivitetty versio. Crypt0l0cker-kiristysohjelman luoneet verkkorikolliset käyttävät TOR-verkkoa maksujen keräämiseen uhreilta. TOR-verkko varmistaa, että verkkorikollisten henkilöllisyys ja sijainti säilyvät salassa.

Crypt0L0cker-virus

Crypt0L0ckerin tyyliset ransomware-tartunnat (kuten CryptoWall, TeslaCrypt ja CTB-Locker) ovat erinomainen syy pitää tallennetusta datasta varmuuskopioita. Huomaa, että kiristyshaittaohjelman vaatiman maksun maksaminen vastaa rahan lähettämistä suoraan verkkorikollisille – se tukee rikollista toimintatapaa, eikä tiedostojen salauksen purkamisesta ole silti mitään takeita. Vältä tällaiset ransomware-tartunnat olemalla varovainen avatessasi sähköpostiviestejä, sillä verkkorikolliset käyttävät niissä houkuttelevia otsikoita saadakseen käyttäjät avaamaan saastuneet sähköpostin liitetiedostot. Huom.: kirjoittamisen aikaan ei ollut olemassa ainuttakaan työkalua, joka kykenisi purkamaan Crypt0lockerin tekemän salauksen ilman lunnasrahan maksamista.

Verkkorikolliset ovat kääntäneet Crypt0l0ckerin useille eri kielille laajempaa kohderyhmää varten. Tässä on esimerkki Etelä-Koreaan kohdistetusta ohjelmaversiosta:

Crypt0L0cker-virus eteläkorealaisille PC-käyttäjille


Kuvakaappaus DECRYTP_INSTRUCTIONS.html-tiedostosta:

Crypt0L0cker decrypt_instructions.html-tiedosto

DECRYTP_INSTRUCTIONS.html-tiedostossa oleva viesti:

WARNING we have encrypted your files with Crypt0L0cker virus. Your important files (including those on the network disks, USB, etc): photos, videos, documents, etc. were encrypted with our Crypt0L0cker virus. The only way to get your files back is to pay us. Otherwise, your files will be lost. Caution: Removing of Crypt0L0cker will not restore access to your encrypted files.

Kuvakaappaus DECRYTP_INSTRUCTIONS.txt-tiedostosta:

Crypt0L0cker decrypt_instructions.txt-tiedosto

DECRYTP_INSTRUCTIONS.html-tiedostossa oleva viesti:

!!! WE HAVE ENCRYTPED YOUR FILES WITH Crypt0L0cker VIRUS !!!
What happened to my files? Your important files: photos, videos, document, etc. were encrypted with our Crypt0L0cker virus. This virus uses very strong encryption algorithm - RSA -2048. Breaking of RSA-2048 encryption algorithm is impossible without special decryption key. How can I get my files back? Your files are now unusable and unreadable, you can verify it by trying to open them. The only way to restore them to a normal condition is to use our special decryption software. You can buy this decryption software on our website.

TOR-verkon kautta käytettävä sivusto, jonka avulla verkkorikolliset keräävät lunnaat (2,2 BTC):

Crypt0L0cker-ostosivu

Esimerkkejä Crypt0L0ckerin levitykseen käytettävistä saastuneista sähköpostiviesteistä:

Crypt0L0ckerin levitykseen käytettävä sähköpostiviesti esim. 1 Crypt0L0ckerin levitykseen käytettävä sähköpostiviesti esim. 2 Crypt0L0ckerin levitykseen käytettävä sähköpostiviesti esim. 3 Crypt0L0ckerin levitykseen käytettävä sähköpostiviesti esim. 4

Esimerkkejä Crypt0L0ckerin levitykseen käytettävistä haittasivustoista:

Crypt0L0ckerin levitykseen käytettävä sivusto esim. 1 Crypt0L0ckerin levitykseen käytettävä sivusto esim. 2 Crypt0L0ckerin levitykseen käytettävä sivusto esim. 3 Crypt0L0ckerin levitykseen käytettävä sivusto esim. 4

Kirjoittamisen aikaan ei ollut olemassa ainuttakaan työkalua, joka kykenisi purkamaan Crypt0l0ckerin tekemän salauksen ilman lunnasrahan maksamista (yritä palauttaa tiedostosi tilannevedoksista). Noudattamalla tämän poisto-oppaan ohjeita, voit poistaa ransomwaren tietokoneeltasi, mutta tiedostot pysyvät silti salattuina. Päivitämme tätä artikkelia heti, kun tiedostojen salauksen purkamisesta on saatavilla lisätietoa.

Crypt0L0cker-kiristysohjelman poistaminen:

Pikavalikko:

1. vaihe

Windows XP- ja Windows 7 -käyttäjät: Käynnistä tietokoneesi Vikasietotilassa. Klikkaa Käynnistä, Sammuta, Käynnistä uudelleen ja lopuksi OK. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, josta voit valita kohdan Vikasietotila ja verkkoyhteydet.

Vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 7 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

Windows 8 -käyttäjät: Mene Windows 8 -aloitusnäyttöön, kirjoita Lisäasetukset ja valitse tuloksista Asetukset. Klikkaa Käynnistyksen lisäasetukset -vaihtoehtoa ja valitse aukeavasta "Yleiset tietokoneasetukset" -ikkunasta Käynnistyksen lisäasetukset. Napsauta "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen lisäasetukset -valikkoon. Klikkaa "Vianmääritys" -painiketta ja sen jälkeen "Lisäasetukset" -painiketta. Valitse lisäasetusten näytöstä "Käynnistyksen asetukset". Klikkaa "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen asetukset -näyttöön. Paina "5" käynnistääksesi Vikasietotila ja verkkoyhteydet -tilassa.

Windows 8 vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 8 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

2. vaihe

Kirjaudu sisään tilille, johon Crypt0L0cker on tarttunut. Käynnistä verkkoselaimesi ja lataa luotettava viruksentorjuntaohjelma. Päivitä vakoiluntorjuntaohjelmisto ja käynnistä täysi järjestelmän skannaus. Poista kaikki löytyneet ongelmat.

▼ Lataa Crypt0L0cker virus poistotyökalu

Lataamalla tällä sivulla mainittuja ohjelmistoja, sitoudut meidän käyttöehtoomme ja tietosuojakäytäntöömme. Kaikki suosittelemamme tuotteet ovat testattuja ja hyväksyttyjä meidän teknikkojen toimesta ja todettu olevan tehokkaimmat ratkaisut näitten uhkien poistamiseen.

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan, yritä suorittaa järjestelmän palautus.

Video, jossa näytetään, miten ransomware-virus poistetaan "Vikasietotila ja komentorivi" ja "Järjestelmän palautus" -toiminnoilla:

1. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, valitse sieltä kohta Vikasietotila ja komentorivi ja paina enteriä.

 Käynnistä tietokoneesi Vikasietotila ja komentorivi -tilaan

2. Kun komentorivitila on latautunut, kirjoita siihen "cd restore" ja paina enteriä.

järjestelmän palautus komentorivin cd restore -komennolla

3. Kirjoita seuraavaksi rstrui.exe ja paina enteriä.

järjestelmän palautus komentorivin rstrui.exe-komennolla

4. Napsauta avautuvassa ikkunassa "Seuraava".

järjestelmän tiedostojen ja asetusten palautus

5. Valitse yksi saatavilla olevista palautuspisteistä ja klikkaa ”Seuraava” (tämä palauttaa järjestelmän aikaisempaan ajankohtaan, jolloin Crypt0L0cker ei ollut vielä asentunut tietokoneeseen).

valitse palautuspiste

6. Valitse avautuvassa ikkunassa "Kyllä".

suorita järjestelmän palautus

7. Kun olet palauttanut tietokoneesi aikaisempaan ajankohtaan, lataa suositeltu haittaohjelmien poisto-ohjelmisto ja skannaa tietokoneesi poistaaksesi jäljelle jääneet Crypt0L0cker-tiedostot.

Kokeile käyttää Windowsin Aiemmat versiot -toimintoa yksittäisten salattujen tiedostojen palauttamiseksi. Tämä menetelmä toimii ainoastaan, mikäli Järjestelmän palautus -toiminto on ollut käytössä saastuneessa käyttöjärjestelmässä. Huomaa, että jotkin Crypt0L0ckerin versiot poistavat tiedostojen tilannevedoskopiot, joten menetelmä ei välttämättä toimi kaikilla tietokoneilla.

Palauttaaksesi tiedoston napsauta sitä hiiren kakkospainikkeella, valitse Ominaisuudet ja sen jälkeen Palauta aiemmat versiot -välilehti. Jos tiedostolla on palautuspiste, valitse se ja napsauta "Palauta"-painiketta.

CryptoDefensen salaamien tiedostojen palauttaminen

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan (tai komentorivitilaan), käynnistä tietokoneesi palautuslevyn avulla. Jotkin kiristysohjelman versiot estävät Vikasietotilan käytön, mikä vaikeuttaa niiden poistamista. Tätä toimenpidettä varten tarvitset toisen tietokoneen.

Voit kokeilla myös Shadow Explorer -nimistä ohjelmaa saadaksesi Crypt0L0ckerin salaamat tiedostot palautettua. Lisätietoa ohjelman käytöstä on saatavilla täältä.

shadow explorer -kuvakaappaus

Suojaa tietokoneesi tällaisilta salausmenetelmiä käyttäviltä ransomwareilta käyttämällä luotettavia viruksen- ja vakoiluntorjuntaohjelmia. Lisäsuojana voit hyödyntää CryptoPrevent-nimistä ohjelmistoa. (CryptoPrevent lisää rekisteriin keinotekoisesti ryhmäkäytäntöobjekteja Crypt0L0ckerin ja muiden haittaohjelmien toiminnan estämiseksi.)

Cryptoprevent-kuvakaappaus

Muita työkaluja, jotka kykenevät poistamaan Crypt0L0ckerin:

Lähde: https://www.pcrisk.com/removal-guides/8930-crypt0l0cker-virus