Премахни CryptoWall вирус (Инструкции за премахване) - актуализирано апр. 2016
Упътване за премахване на CryptoWall вируси
Какво е Вирусът CryptoWall?
Какво е CryptoWall?
CryptoWall (може да срещнете също и CryptoWall 2.0 и CryptoWall 3.0) е много опасен рансъмуер, който е пуснат с цел генериране на печалби. Той криптира важни за потребителя файлове, след което изисква плащането на откуп за код, който ще разшифрова файловете. Изглежда, че този вирус принадлежи на същата група киберпрестъпници, които са отговорни за пускането на рансъмуер вируси като CryptoDefense, Cryptolocker, BitCrypt, Critroni, Cryptorbit и др. Ако използвате операционна система Windows, трябва да сте особени внимателни, защото вирусът CryptoWall може да порази всички версии на Windows, включително Windows XP, Windows Vista, Windows 7 и Windows 8. Веднага след като зарази операционната система, той криптира предварително определени файлове и блокира потребителя, така че файловете стават недостъпни за него. Според компютърните специалисти за тази цел се използва RSA 2048 криптиране. За да възстановите тези файлове, ще ви бъде поискан да заплатите откуп в размер на 500 щатски долара. В повечето случаи, трябва да се плати в биткойни и плащането трябва да се осъществи през Tor (анонимен уеб браузър). Този метод за прехвърляне на пари обикновено се използва от хакери и от киберпрестъпници, за да могат да скрият самоличността си.
Ако видите предупредително съобщение, което е озаглавено ‘CryptoWall 2.0’ или ‘CryptoWall 3.0’, то тогава вие си имате работа с актуализираната му версия. CryptoWall 2.0 е актуализиран в края на 2014. След това обновяване, той вече има възможност да генерира уникални адреси за плащане за всяка една от „жертвите“, има автентични портали/тунели към TOR и използва сигурен метод за изтриване, който не позволява използването на инструменти за възстановяване, в случай, че се опитате да декриптирате важните файлове. Cryptowall 3.0 е пуснат през януари 2015. Изглежда, че той може да криптира нови имена на файлове (HTML, PNG, TXT, URL), има нови портали към TOR и удължен краен срок за получаване на откупа.
Моля, НЕ плащайте дори стотинка на киберпрестъпниците, които са отговорни за създаването на CryptoWall, защото няма гаранция, че това ще помогне да възстановите файловете си. Това е просто зловреден метод, който се използва за незаконно печелене на пари. Ако току що сте открили, че компютъра ви е заразен с Cryptowall, трябва да започнете пълно системно сканиране с FortectIntego колкото се може по-скоро. Уверете се, че използвате обновена версия, която ще ви помогне да премахнете всички зловредни файлове, които принадлежат към този рансъмуер вирус.
ОБНОВЯВАНЕ: Има нови версии на Cryptowall
Cryptowall 2.0. Този рансъмуер е почти идентичен на Cryptowall: той криптира файлове, предупреждава потребителя за криптирането и иска плащането на откуп. Обаче, хакерите са решили малко да го обновят. На първо място тази заплаха използва RSA-2048 криптиращи алгоритми за криптиране на файловете. Също така, изисква от „жертвата“ да заплати или 500 долара или 500 евро, което е равно на 1,22 биткойна. За да събере тези пари, вирусът генерира уникални адреси за биткойн плащане за всеки отделен потребител, който е инфектиран. Това, което е важно е, че тази версия на Cryptowall използва свои собствени TOR портали, например tor4pay.com,pay4tor.com и pay2tor.com. Този вирус се различава от първата версия на Cryptowall и по това, че след като криптира файловете, изтрива първоначалната версия на данните на потребителя.
Cryptowall 3.0. Точно както Cryptowall и Cryptowall 2.0, тази заплаха се използва за събиране на откупи. Тази версия се разпространява с помощта на инструмент за експлоатация(exploit kit), което означава, че може да нахлуе в компютъра ви много по-лесно от предните версии. След като проникне в системата ви, криптира необходимите файлове с помощта на същия криптиращ алгоритъм RSA-2048 и започва да изисква парите за откупа. Съобщението за откуп при този вирус изисква от „жертвата“ да заплати откуп от 1,22 биткойна или 500 щатски долара в рамките на седем дни. Това, което е различно е, че третата версия на Cryptowall добавя файлово разширение .aaa към имената на файловете с криптирани данни.
Cryptowall 4.0. Известен още като HELP_YOUR_FILES ransomware (СПАСИ_ФАЙЛОВЕТЕ_СИ рансъмуер), този вирус се смята за последната версия на Cryptowall. Тази версия на рансъмуер вируса има няколко нови характеристики, които не се срещат при предишните версии. Една от тях е способността да криптира такива файлове, които вече са били криптирани от потребителя. Също така, може да направи невъзможно използването на Възстановяване на системата (System Restore) и също както и по-старите версии може да изтрие всички Моментални снимки на томове (Shadow Volume Copies). Освен това, тази подобрена версия иска откуп в размер на 700 долара в замяна на декриптиращ ключ.
Как CryptoWall може да проникне в компютъра ми?
Този зловреден натрапник може да проникне в компютъра ви като обичайна актуализация на вече позната програма (Java, Flash Player, Adobe Reader и др.), която може да ви бъде предложена, в случай че сте посетили несигурни и съмнителни уеб страници. И все пак, в повечето случаи рансъмуер вируса CryptoWall обикновено се разпространява в пакет с фалшиви спам имейли. Може да го свалите на компютъра си след като сте отворили прикачения файл на имейл, който се представя за фактура на покупка, която сте направили или друг подобен документ. Когато CryptoWall зарази системата той създава следните файлове DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html, и DECRYPT_INSTRUCTION.url във всяка една папка, която е криптирал. Също така, този рансъмуер започва да ви показва подобно съобщение:
Декриптиране
Файловете ви са криптирани.
За да получите декриптиращ ключ, трябва да платите 500 USD/EUR. Ако не направите плащането преди [дата] цената за декриптиране на файловете ще се увеличи два пъти и ще бъде и ще бъде 1000 USD/EUR До увеличаването на дължимата сума остават: [отброяващ таймер]
Разполагаме със специален софтуер – CryptoWall Decrypter(CryptoWall Дешифратор) – който позволява да разшифровате файловете си и да си възстановите пълния контрол над тях. Как да купите дешифратора CryptoWall (CryptoWall decrypter)?
1.Трябва да регистрирате биткойн портфейл
2. Да закупите биткойни – въпреки че не е лесно да купите биткойни, това става все по-лесно с всеки изминал ден.
3. Изпратете 1.22 BTC към биткойн адрес: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Въведете номер на трансакцията и изберете сума.
5. Моля, проверете информацията за плащането и натиснете „PAY“.
Как да премахна вируса CryptoWall от компютъра си?
За съжаление, ако този рансъмуер вирус проникне в системата ви, няма да намерите Cryptowall дешифратор, който може да ви помогне с криптираните ви данни и премахването на вируса. В действителност, може да си навлечете много други неприятности, докато се опитвате да възстановите файловете си, защото вирусът използва различни техники, за да направи файловете ви неизползваеми. Първото нещо, което трябва да направите, за да спасите компютъра си, е да премахнете всеки зловреден файл, който принадлежи към тази кибер заплаха. За тази цел, сме разработили подробно ръководство за премахване на вируса, което ще намерите по-долу. Не забравяйте, че трябва да сте много внимателни, докато следвате всяка стъпка и трябва да ги изпълните в точно указания ред.
За финал, трябва да добавим, че силно ви препоръчваме да помислите за превенция на такива зловредни инфекции като Cryptowall. С тази цел може да използвате някои от следните програми, които ще ви помогнат да избегнете рансъмуер заплахи и други кибер-зарази: FortectIntego, SpyHunter 5Combo Cleaner, Malwarebytes. Освен това, не забравяйте сигурността на вашите файлове и ги архивирайте колкото се може по-често. Също така, може да използвате външни твърди дискове, компакт дискове (CD), DVD дискове или просто да се доверите на Google Drive, Dropbox, Flickr и други подобни, за да поддържате допълнителни копия на файловете си.
Упътване за ръчно премахване на CryptoWall вируси
Рансъмуер: Инструкции за премахване на рансъмуер в Безопасен режим (Safe Mode)
Важно! →
Ръководството за ръчно премахване може да се окаже малко сложно за редовите компютърни потребители. Изискват се напреднали IT знания, за да се изпълни правилно (ако липсват или sа повредени важни системни файлове, това може да компрометира цялата операционна система Windows), а самото изпълнение може да отнеме часове. Затова силно препоръчваме да се използва описания по-горе автоматичен метод.
Стъпка 1. Влезте в Безопасен режим с мрежа/Safe Mode with Networking
Ръчното премахване на зловреден софтуер е най-добре да се направи в Безопасен режим/Safe Mode.
Windows 7 / Vista / XP
- Натиснете Start > Shutdown > Restart > OK.
- Когато компютърът ви стане активен, започнете да натискате бутона F8 (ако това не проработи, опитайте с F2, F12, Del и др. – всичко зависи от модела на дънната ви платка) многократно, докато видите прозореца Разширени опции за стартиране/Advanced Boot Options.
- От списъка изберете Безопасен режим с мрежа/Safe Mode with Networking.
Windows 10 / Windows 8
- Кликнете с десен бутон на мишката върху Start бутона и изберете Настройки/Settings.
- Скролнете надолу и изберете Актуализации и Сигурност/ Update & Security.
- В левия край на прозореца изберете Възстановяване/Recovery.
- Скролвате отново надолу, докато откриете Раздел за разширено стартиране/Advanced Startup section.
- Натискате Рестартирай сега/ Restart now.
- Изберете Отстраняване на неизправности/Troubleshoot.
- Отидете в Разширени опции/Advanced options.
- Изберете Настройки при стартиране/Startup Settings.
- Натиснете Рестартиране/Restart.
- Сега натиснете 5 или кликнете върху 5) Активирай Безопасен режим с мрежа/Enable Safe Mode with Networking.
Стъпка 2. Спрете съмнителните процеси
Мениджърът на задачите на Windows (Windows Task Manager) е полезен инструмент, който показва всички процеси, които протичат във фонов режим. Ако има процес, който се управлява от зловреден софтуер, трябва да го спрете:
- На клавиатурата натискате Ctrl + Shift + Esc за да стартирате Мениджъра за задачите/Windows Task Manager.
- Кликвате върху Повече информация/More details.
- Скролвате надолу до раздела Процеси във фонов режим/Background processes и търсите съмнителни процеси.
- С десен бутон на мишката кликвате и избирате Отворете местоположението на файла/Open file location.
- Връщате се обратно при процеса, кликвате с десен бутон и избирате Край на задачата/End Task.
- Изтрийте съдържанието на зловредната папка.
Стъпка 3. Проверете Startup програмите
- Натиснете Ctrl + Shift + Esc на клавиатурата, за да отворите Мениджъра на задачите/Windows Task Manager.
- Отидете в раздела Startup.
- Кликнете с десен бутон върху съмнителната програма и натиснете Деактивирай/Disable.
Стъпка 4. Изтрийте файловете на вируса
Файловете свързани със зловредния софтуер могат да бъдат открити на различни места в компютъра ви. По-долу ще видите инструкции, които ще ви помогнат да ги откриете:
- Напишете Disk Cleanup в полето за търсене на Windows и натиснете Enter.
- Изберете дялът, който искате да почистите (C: е основния ви дял по подразбиране и е много вероятно зловредните файлове да са точно в него).
- Скролнете през списъка с Файлове за изтриване/Files to delete и изберете следните:
Temporary Internet Files/Временни Интернет файлове
Downloads/Изтегляния
Recycle Bin/Кошче
Temporary files/Временни файлове - Изберете Почистете системните файлове/Clean up system files.
- Също така може да потърсите и за още зловредни файлове, скрити в следните папки (напишете ги в търсачката на Windows/Windows Search и натиснете Enter):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
След като приключите, рестартирайте компютъра в нормален режим.
Премахнете CryptoWall, използвайки System Restore
-
Стъпка 1: Рестартирайте компютъра си, за да Safe Mode with Command Prompt
Windows 7 / Vista / XP- Натиснете Start → Shutdown → Restart → OK.
- Когато компютърър Ви се активира, натиснете F8 няколко пъти, докато видите прозореца Advanced Boot Options
- Изберете Command Prompt от списъка
Windows 10 / Windows 8- Натиснете Power в Windows логин екран. Сега натиснете и задръжте Shift, което е на клавиатурата Ви, и след това натиснете Restart..
- Сега изберете Troubleshoot → Advanced options → Startup Settings и накрая натиснете Restart.
- След като компютърът Ви е активен, изберете Enable Safe Mode with Command Prompt в Startup Settings прозореца.
-
Стъпка 2: Рестартирайте системните си файлове и настройки
- След като се появи Command Prompt прозорец, въведете cd restore и кликнете Enter.
- Сега напишете rstrui.exe и натиснете Enter отново..
- Когато се появи нов екран, натиснете Next и изберете Вашия restore point преди инфекцията с CryptoWall. След това натиснете Next.
- Сега кликнете Yes, за да започни system restore.
Накрая, винаги трябва да мислите за защита от крипто-рансъмуери. За да защитите компютъра си от CryptoWall и други рансъмуери, използвайте добър анти спайуер, като например FortectIntego, SpyHunter 5Combo Cleaner или Malwarebytes
Препоръчано за Вас
Не позволявайте на правителството да ви шпионира
Правителствата имат много причини за проследяване на потребителски данни и шпиониране на гражданите, затова е добре да се замислите и да разберете повече за съмнителните практики за събиране на информация. За да избегнете нежелано проследяване или шпиониране, трябва да бъдете напълно анонимни в Интернет.
Може да изберете различно местоположение, когато сте онлайн и имате достъп до желани материали без ограничение на специфично съдържание. Може да се радвате на Интернет връзка без рискове да бъдете хакнати, като използвате VPN услугата Private Internet Access.
Управлявайте информацията, която може да бъде използвана от правителството или трети страни и сърфирайте в мрежата без да бъдете шпионирани. Дори да не участвате в някакви незаконни дейности или се доверявате на избора си на услуги и платформи, имайте едно наум за собствената си сигурност и вземете превантивни мерки като използвате VPN услуга.
Архивиране на файлове в случай на атака на зловреден софтуер
Компютърните потребители могат да понесат различни загуби, които се дължат на кибер инфекции или на техни собствени грешки. Софтуерни проблеми, причинени от зловреден софтуер или загуба на информация, дължаща се на криптиране, могат да доведат до различни последици за устройството ви или дори до непоправими щети. Когато разполагате с адекватни актуални резервни файлове лесно може да се възстановите след подобен инцидент и да се върнете към работата си.
Актуализациите на резервните файлове след всяка промяна в устройството са изключителни важни, за да може да се върнете на точното място, на което сте спрели работа, когато зловреден софтуер или друг проблем с устройството е причинило загуба на информация или е прекъснало работата ви.
Когато разполагате с предишна версия на важен документ или проект, може да избегнете чувството на безсилие и стреса. Доста е полезно в случай на изненадваща зловредна атака. Използвайте Data Recovery Pro за възстановяване на системата.