Alpha Crypt -virus

Muita nimiä: .ezz virus
Tyyppi: Ransomware
Leviäminen: Matala
Riskitaso: Vakava

Alpha Crypt -kiristysohjelman poistaminen

Mikä Alpha Crypt on?

Alpha Crypt on kiristysvirus, joka tunkeutuu käyttäjien tietokoneille saastuneiden sähköpostiviestien tai Angler Exploit Kitin (Flash exploit - CVE-2015-0311). Tämä haittaohjelma tunnettiin aiemmin nimellä TeslaCrypt. Onnistuneen latauksen jälkeen haittaohjelma aloittaa käyttäjän tietokoneelta löydettyjen tiedostojen salaamisen (esimerkiksi: .wma, .avi, .wmv, .zip, docx, .doc, .ppt, .lvl, .snx, .cfr, .ff ja monet muut – yhteensä 185 tiedostotyyppiä) AES CBC 256-bittisellä salausalgoritmilla. Edeltäjänsä tavoin myös Alpha Crypt on kohdistettu pääasiassa pelaajille. Seuraavassa on joitakin esimerkkejä videopeleistä, joiden tiedostoja (tallennettuja pelejä ja Steamin aktivointiavaimia) kiristysohjelma salaa: World of Warcraft, League of Legends, World of Tanks, Call of Duty ja monet muut.

Onnistuneen tiedostojen salaamisen jälkeen Alpha Crypt muuttaa käyttäjän tietokoneen taustakuvaksi HELP_TO_SAVE_FILES.bmp-tiedoston ja avaa tiedoston HELP_TO_SAVE_FILES.txt, joka sisältää ohjeet menetettyjen tiedostojen salauksen poistamiseksi. Artikkelin kirjoittamisen aikaa verkkorikolliset vaativat 0,7 BTC:n (Bitcoin-valuuttaa) lunnaiden maksamista salauksen poistamiseksi. Alpha Crypt lisää .ezz-tiedostopäätteen salattuihin tiedostoihin. Käyttäjiä pyydetään ottamaan yhteys TOR-sivustoon, jossa käyttäjien pitää maksaa lunnasrahat Bitcoineina. TOR-verkko varmistaa, että verkkorikollisten henkilöllisyys ja sijainti säilyvät salassa.

Alpha crypt -ransomware

Alpha Cryptin tyyliset ransomware-tartunnat (kuten Crypt0L0cker, CryptoWall ja CTB-Locker) ovat erinomainen syy pitää tallennetusta datasta varmuuskopioita. Huomaa, että kiristyshaittaohjelman vaatiman maksun maksaminen vastaa rahan lähettämistä suoraan verkkorikollisille – se tukee rikollista toimintatapaa, eikä tiedostojen salauksen purkamisesta ole silti mitään takeita. Vältä tällaiset ransomware-tartunnat olemalla varovainen avatessasi sähköpostiviestejä, sillä verkkorikolliset käyttävät niissä houkuttelevia otsikoita saadakseen käyttäjät avaamaan saastuneet sähköpostin liitetiedostot. Huom.: kirjoittamisen aikaan ei ollut olemassa ainuttakaan työkalua, joka kykenisi purkamaan Alpha Cryptin tekemän salauksen ilman lunnasrahan maksamista. Täten ihanteellinen ratkaisu on poistaa kiristysvirus ja palauttaa tiedot tämän jälkeen varmuuskopiosta.

Alpha Crypt vaatii lunnasrahoja tiedostojen salauksen purkamiseksi:

Your files have been safely encrypted on this PC: photos, videos, documents, etc. Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this. Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key. The only copy of the private key, which allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after a time period specified in this window.

Once this has been done, nobody will ever be able to restore files...

Alpha Cryptin HELP_TO_SAVE_FILES.bmp-tiedosto, jota käytetään tietokoneen taustakuvana:

Alpha cryptin help_to_save_files.bmp-tausta

Esimerkkejä Alpha Crypt -ransomwaren salaamista tiedostotyypeistä (yhteensä 185 tyyppiä):

.unity3d, .blob, .wma, .avi, .rar, .DayZProfile, .doc, .odb, .asset, ,forge, .cas, .map, .mcgame, .rgss3a, .big, .wotreplay, .xxx, .m3u, .png, .jpeg, .txt, .crt, .x3f, .ai, .eps, .pdf, .lvl, .sis, .gdb, .wmv, .zip, docx, .doc, .ppt, .lvl, .snx, .cfr, .ff

Kuvakaappaus Alpha Crypt Decryption Service -sivustosta:

alpha crypt decrypt files -sivusto

Decryption Service -sivustossa esitetyt maksutiedot:

How to pay us in bitcoins:
Useful site: howtobuybitcoins.info (find exchanges in your country)
1. Visit one of the sites below to buy bitcoins (or find one yourself using the site given above)
(2. Login or create an account if necessary.)
3. Buy the amount of bitcoins you need to pay and send them to the address given in this window.
(4. You can go to blockchain.info and search for your address to see whether the bitcoins are received.)
5. If the bitcoins are on the address, click ‘check payment and receive keys’.
6. Your keys are now received, press ‘decrypt using keys’.
7. Your files will be restored and the program will delete itself.

Kirjoittamisen aikaan ei ollut olemassa ainuttakaan työkalua, joka kykenisi purkamaan Alpha Cryptin tekemän salauksen ilman lunnasrahan maksamista (yritä palauttaa tiedostosi tilannevedoksista). Noudattamalla tämän poisto-oppaan ohjeita, voit poistaa ransomwaren tietokoneeltasi, mutta tiedostot pysyvät silti salattuina. Päivitämme tätä artikkelia heti, kun tiedostojen salauksen purkamisesta on saatavilla lisätietoa.

Alpha Crypt -kiristysohjelman poistaminen:

Pikavalikko:

1. vaihe

Windows XP- ja Windows 7 -käyttäjät: Käynnistä tietokoneesi Vikasietotilassa. Klikkaa Käynnistä, Sammuta, Käynnistä uudelleen ja lopuksi OK. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, josta voit valita kohdan Vikasietotila ja verkkoyhteydet.

Vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 7 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

Windows 8 -käyttäjät: Mene Windows 8 -aloitusnäyttöön, kirjoita Lisäasetukset ja valitse tuloksista Asetukset. Klikkaa Käynnistyksen lisäasetukset -vaihtoehtoa ja valitse aukeavasta "Yleiset tietokoneasetukset" -ikkunasta Käynnistyksen lisäasetukset. Napsauta "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen lisäasetukset -valikkoon. Klikkaa "Vianmääritys" -painiketta ja sen jälkeen "Lisäasetukset" -painiketta. Valitse lisäasetusten näytöstä "Käynnistyksen asetukset". Klikkaa "Käynnistä uudelleen" -painiketta. Tietokoneesi käynnistyy Käynnistyksen asetukset -näyttöön. Paina "5" käynnistääksesi Vikasietotila ja verkkoyhteydet -tilassa.

Windows 8 vikasietotila ja verkkoyhteydet

Video, joka näyttää miten Windows 8 käynnistetään "Vikasietotila ja verkkoyhteydet" -tilaan:

2. vaihe

Kirjaudu sisään tilille, johon Alpha Crypt on tarttunut. Käynnistä verkkoselaimesi ja lataa luotettava viruksentorjuntaohjelma. Päivitä vakoiluntorjuntaohjelmisto ja käynnistä täysi järjestelmän skannaus. Poista kaikki löytyneet ongelmat.


▼ Lataa .ezz virus poistotyökalu

Lataamalla tällä sivulla mainittuja ohjelmistoja, sitoudut meidän käyttöehtoomme ja tietosuojakäytäntöömme. Kaikki suosittelemamme tuotteet ovat testattuja ja hyväksyttyjä meidän teknikkojen toimesta ja todettu olevan tehokkaimmat ratkaisut näitten uhkien poistamiseen.

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan, yritä suorittaa järjestelmän palautus.

Video, jossa näytetään, miten ransomware-virus poistetaan "Vikasietotila ja komentorivi" ja "Järjestelmän palautus" -toiminnoilla:

1. Kun tietokoneesi on käynnistymässä, paina näppäimistösi F8-painiketta useita kertoja, kunnes näet Käynnistyksen lisäasetukset -valikon, valitse sieltä kohta Vikasietotila ja komentorivi ja paina enteriä.

Käynnistä tietokoneesi Vikasietotila ja komentorivi -tilaan

2. Kun komentorivitila on latautunut, kirjoita siihen "cd restore" ja paina enteriä.

 järjestelmän palautus komentorivin cd restore -komennolla

3. Kirjoita seuraavaksi rstrui.exe ja paina enteriä.

järjestelmän palautus komentorivin rstrui.exe-komennolla

4. Napsauta avautuvassa ikkunassa "Seuraava".

järjestelmän tiedostojen ja asetusten palautus

5. Valitse yksi saatavilla olevista palautuspisteistä ja klikkaa ”Seuraava” (tämä palauttaa järjestelmän aikaisempaan ajankohtaan, jolloin Alpha Crypt ei ollut vielä asentunut tietokoneeseen).

valitse palautuspiste

6. Valitse avautuvassa ikkunassa "Kyllä".

suorita järjestelmän palautus

7. Kun olet palauttanut tietokoneesi aikaisempaan ajankohtaan, lataa suositeltu haittaohjelmien poisto-ohjelmisto ja skannaa tietokoneesi poistaaksesi jäljelle jääneet Alpha Crypt -tiedostot.

Kokeile käyttää Windowsin Aiemmat versiot -toimintoa yksittäisten salattujen tiedostojen palauttamiseksi. Tämä menetelmä toimii ainoastaan, mikäli Järjestelmän palautus -toiminto on ollut käytössä saastuneessa käyttöjärjestelmässä. Huomaa, että jotkin Alpha Cryptin versiot poistavat tiedostojen tilannevedoskopiot, joten menetelmä ei välttämättä toimi kaikilla tietokoneilla.

Palauttaaksesi tiedoston napsauta sitä hiiren kakkospainikkeella, valitse Ominaisuudet ja sen jälkeen Palauta aiemmat versiot -välilehti. Jos tiedostolla on palautuspiste, valitse se ja napsauta "Palauta"-painiketta.

CryptoDefensen salaamien tiedostojen palauttaminen

Jos et saa käynnistettyä tietokonettasi Vikasietotila ja verkkoyhteydet -tilaan (tai komentorivitilaan), käynnistä tietokoneesi palautuslevyn avulla. Jotkin kiristysohjelman versiot estävät Vikasietotilan käytön, mikä vaikeuttaa niiden poistamista. Tätä toimenpidettä varten tarvitset toisen tietokoneen.

Voit kokeilla myös Shadow Explorer -nimistä ohjelmaa saadaksesi Alpha Cryptin salaamat tiedostot palautettua. Lisätietoa ohjelman käytöstä on saatavilla täältä.

shadow explorer -kuvakaappaus

Suojaa tietokoneesi tällaisilta salausmenetelmiä käyttäviltä ransomwareilta käyttämällä luotettavia viruksen- ja vakoiluntorjuntaohjelmia. Lisäsuojana voit hyödyntää CryptoPrevent-nimistä ohjelmistoa. (CryptoPrevent lisää rekisteriin keinotekoisesti ryhmäkäytäntöobjekteja Alpha Cryptin ja muiden haittaohjelmien toiminnan estämiseksi.)

Cryptoprevent-kuvakaappaus

Muita työkaluja, jotka kykenevät poistamaan Alpha Cryptin:

Lähde: https://www.pcrisk.com/removal-guides/8936-alpha-crypt-virus