Crypt0L0cker-virus
Crypt0L0cker-kiristysohjelman poistaminen
Mikä Crypt0L0cker on?
Crypt0L0cker on kiristysvirus, joka tunkeutuu käyttäjien tietokoneille saastuneiden sähköpostiviestien välityksellä (useimmiten viestin aihe sisältää jonkin seuraavista: “package tracking”, ”speeding tickets”, “unpaid invoice” jne.). Huomaa, että verkkorikolliset ovat lokalisoineet viestit, jotta ne vaikuttaisivat uskottavimmilta. Esimerkiksi tietokoneenkäyttäjät Isossa-Britanniassa saavat viestejä, joiten väitetään sisältävän Royal Mailin kuljettaman lastin seurantatietoja, PC-käyttäjät Australiassa puolestaan saavat Australia Postin viestejä jne. Onnistuneen asentumisen jälkeen tämä haittaohjelma salaa käyttäjän koneella olevat tiedostot ja vaatii 2,2 Bitcoinin lunnaiden maksamista salauksen poistamiseksi. Crypt0l0cker salaa tietokoneelta kaikki tiedostot seuraavia Windowsin toiminnnan kannalta olennaisia lukuun ottamatta: .html, .inf, .manifest, .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe, .avi, .wav, .mp3, .gif, .ico, .png, .bmp ja .txt.
Salattuihin tiedostoihin liitetään .encrypted-etuliite, ja jokaiseen salattuja tiedostoja sisältävään kansioon lisätään tiedostot DECRYPT_INSTRUCTIONS.html ja DECRYPT_INSTRUCTIONS.txt, jotka sisältävät ohjeet lunnasrahojen maksamiseksi. Tämä kiristysohjelma on kohdistettu seuraavien maiden asukkaille: Australia, Itävalta, Kanada, Tshekki, Italia, Irlanti, Ranska, Saksa, Alankomaat, Etelä-Korea, Thaimaa, Uusi-Seelanti, Espanja, Turkki ja Yhdistynyt kuningaskunta. Se on aiemmin nimellä TorrentLocker tunnetun haittaohjelman päivitetty versio. Crypt0l0cker-kiristysohjelman luoneet verkkorikolliset käyttävät TOR-verkkoa maksujen keräämiseen uhreilta. TOR-verkko varmistaa, että verkkorikollisten henkilöllisyys ja sijainti säilyvät salassa.
Crypt0L0ckerin tyyliset ransomware-tartunnat (kuten CryptoWall, TeslaCrypt ja CTB-Locker) ovat erinomainen syy pitää tallennetusta datasta varmuuskopioita. Huomaa, että kiristyshaittaohjelman vaatiman maksun maksaminen vastaa rahan lähettämistä suoraan verkkorikollisille – se tukee rikollista toimintatapaa, eikä tiedostojen salauksen purkamisesta ole silti mitään takeita. Vältä tällaiset ransomware-tartunnat olemalla varovainen avatessasi sähköpostiviestejä, sillä verkkorikolliset käyttävät niissä houkuttelevia otsikoita saadakseen käyttäjät avaamaan saastuneet sähköpostin liitetiedostot. Huom.: kirjoittamisen aikaan ei ollut olemassa ainuttakaan työkalua, joka kykenisi purkamaan Crypt0lockerin tekemän salauksen ilman lunnasrahan maksamista.
Verkkorikolliset ovat kääntäneet Crypt0l0ckerin useille eri kielille laajempaa kohderyhmää varten. Tässä on esimerkki Etelä-Koreaan kohdistetusta ohjelmaversiosta:
Kuvakaappaus DECRYTP_INSTRUCTIONS.html-tiedostosta:
DECRYTP_INSTRUCTIONS.html-tiedostossa oleva viesti:
WARNING we have encrypted your files with Crypt0L0cker virus. Your important files (including those on the network disks, USB, etc): photos, videos, documents, etc. were encrypted with our Crypt0L0cker virus. The only way to get your files back is to pay us. Otherwise, your files will be lost. Caution: Removing of Crypt0L0cker will not restore access to your encrypted files.
Kuvakaappaus DECRYTP_INSTRUCTIONS.txt-tiedostosta:
DECRYTP_INSTRUCTIONS.html-tiedostossa oleva viesti:
!!! WE HAVE ENCRYTPED YOUR FILES WITH Crypt0L0cker VIRUS !!!
What happened to my files? Your important files: photos, videos, document, etc. were encrypted with our Crypt0L0cker virus. This virus uses very strong encryption algorithm - RSA -2048. Breaking of RSA-2048 encryption algorithm is impossible without special decryption key. How can I get my files back? Your files are now unusable and unreadable, you can verify it by trying to open them. The only way to restore them to a normal condition is to use our special decryption software. You can buy this decryption software on our website.
TOR-verkon kautta käytettävä sivusto, jonka avulla verkkorikolliset keräävät lunnaat (2,2 BTC):
Esimerkkejä Crypt0L0ckerin levitykseen käytettävistä saastuneista sähköpostiviesteistä:
Esimerkkejä Crypt0L0ckerin levitykseen käytettävistä haittasivustoista:
Kirjoittamisen aikaan ei ollut olemassa ainuttakaan työkalua, joka kykenisi purkamaan Crypt0l0ckerin tekemän salauksen ilman lunnasrahan maksamista (yritä palauttaa tiedostosi tilannevedoksista). Noudattamalla tämän poisto-oppaan ohjeita, voit poistaa ransomwaren tietokoneeltasi, mutta tiedostot pysyvät silti salattuina. Päivitämme tätä artikkelia heti, kun tiedostojen salauksen purkamisesta on saatavilla lisätietoa.
Crypt0L0cker-kiristysohjelman poistaminen:
Pikavalikko:
- Mikä Crypt0L0cker on?
- VAIHE 1. Crypt0L0cker-kiristysohjelman poistaminen Vikasietotila ja verkkoyhteydet -tilassa.
- VAIHE 2. Crypt0L0cker-kiristysohjelman poistaminen järjestelmän palauttamisen avulla.
1. vaihe
Windows XP- ja Windows 7 -käyttäjät: Käynnistä tietokoneesi Vikasietotilassa. Klikkaa Käynnistä, Sammuta, Käynnistä uudelleen ja lopuksi OK. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, josta voit valita kohdan Vikasietotila ja verkkoyhteydet.
Video, joka näyttää miten Windows 7 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:
Windows 8 -käyttäjät: Mene Windows 8 -aloitusnäyttöön, kirjoita Lisäasetukset ja valitse tuloksista Asetukset. Klikkaa Käynnistyksen lisäasetukset -vaihtoehtoa ja valitse aukeavasta "Yleiset tietokoneasetukset" -ikkunasta Käynnistyksen lisäasetukset. Napsauta "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen lisäasetukset -valikkoon. Klikkaa "Vianmääritys" -painiketta ja sen jälkeen "Lisäasetukset" -painiketta. Valitse lisäasetusten näytöstä "Käynnistyksen asetukset". Klikkaa "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen asetukset -näyttöön. Paina "5" käynnistääksesi Vikasietotila ja verkkoyhteydet -tilassa.
Video, joka näyttää miten Windows 8 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:
2. vaihe
Kirjaudu sisään tilille, johon Crypt0L0cker on tarttunut. Käynnistä verkkoselaimesi ja lataa luotettava viruksentorjuntaohjelma. Päivitä vakoiluntorjuntaohjelmisto ja käynnistä täysi järjestelmän skannaus. Poista kaikki löytyneet ongelmat.
▼ Lataa Crypt0L0cker virus poistotyökalu
Lataamalla tällä sivulla mainittuja ohjelmistoja, sitoudut meidän käyttöehtoomme ja tietosuojakäytäntöömme. Kaikki suosittelemamme tuotteet ovat testattuja ja hyväksyttyjä meidän teknikkojen toimesta ja todettu olevan tehokkaimmat ratkaisut näitten uhkien poistamiseen.
Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan, yritä suorittaa järjestelmän palautus.
Video, jossa näytetään, miten ransomware-virus poistetaan "Vikasietotila ja komentorivi" ja "Järjestelmän palautus" -toiminnoilla:
1. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, valitse sieltä kohta Vikasietotila ja komentorivi ja paina enteriä.
2. Kun komentorivitila on latautunut, kirjoita siihen "cd restore" ja paina enteriä.
3. Kirjoita seuraavaksi rstrui.exe ja paina enteriä.
4. Napsauta avautuvassa ikkunassa "Seuraava".
5. Valitse yksi saatavilla olevista palautuspisteistä ja klikkaa ”Seuraava” (tämä palauttaa järjestelmän aikaisempaan ajankohtaan, jolloin Crypt0L0cker ei ollut vielä asentunut tietokoneeseen).
6. Valitse avautuvassa ikkunassa "Kyllä".
7. Kun olet palauttanut tietokoneesi aikaisempaan ajankohtaan, lataa suositeltu haittaohjelmien poisto-ohjelmisto ja skannaa tietokoneesi poistaaksesi jäljelle jääneet Crypt0L0cker-tiedostot.
Kokeile käyttää Windowsin Aiemmat versiot -toimintoa yksittäisten salattujen tiedostojen palauttamiseksi. Tämä menetelmä toimii ainoastaan, mikäli Järjestelmän palautus -toiminto on ollut käytössä saastuneessa käyttöjärjestelmässä. Huomaa, että jotkin Crypt0L0ckerin versiot poistavat tiedostojen tilannevedoskopiot, joten menetelmä ei välttämättä toimi kaikilla tietokoneilla.
Palauttaaksesi tiedoston napsauta sitä hiiren kakkospainikkeella, valitse Ominaisuudet ja sen jälkeen Palauta aiemmat versiot -välilehti. Jos tiedostolla on palautuspiste, valitse se ja napsauta "Palauta"-painiketta.
Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan (tai komentorivitilaan), käynnistä tietokoneesi palautuslevyn avulla. Jotkin kiristysohjelman versiot estävät Vikasietotilan käytön, mikä vaikeuttaa niiden poistamista. Tätä toimenpidettä varten tarvitset toisen tietokoneen.
Voit kokeilla myös Shadow Explorer -nimistä ohjelmaa saadaksesi Crypt0L0ckerin salaamat tiedostot palautettua. Lisätietoa ohjelman käytöstä on saatavilla täältä.
Suojaa tietokoneesi tällaisilta salausmenetelmiä käyttäviltä ransomwareilta käyttämällä luotettavia viruksen- ja vakoiluntorjuntaohjelmia. Lisäsuojana voit hyödyntää CryptoPrevent-nimistä ohjelmistoa. (CryptoPrevent lisää rekisteriin keinotekoisesti ryhmäkäytäntöobjekteja Crypt0L0ckerin ja muiden haittaohjelmien toiminnan estämiseksi.)
Muita työkaluja, jotka kykenevät poistamaan Crypt0L0ckerin:
Lähde: https://www.pcrisk.com/removal-guides/8930-crypt0l0cker-virus
▼ Näytä kommentit