CryptoWall Virus

Známý též jako: CryptoWall 3.0 (HELP_DECRYPT virus)
Rozšíení: Nízké
Stupe poškození: Závažné

Návod na odstranění viru CryptoWall

Co je to CryptoWall?

CryptoWall ransomwarový virus proniká do operačních systémů prostřednictvím infikovaných emailových zpráv a falešných stahování (například škodlivých video přehrávačů nebo falešných Flash aktualizací). Po úspěšném proniknutí tento škodlivý program zašifruje soubory uložené v počítači (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) a následně pro jejich dešifrování požaduje výkupné ve výši a následně pro jejich dešifrování požaduje výkupné ve výši $300 (v Bitcoinech). Kybernetičtí zločinci stojící za předmětným programem jej uzpůsobili tak, aby fungoval na všech operačních systémech Windows (Windows XP, Windows Vista, Windows 7 a Windows 8). CryptoWall ransomwarové současně vytvoří nové soubory HELP_DECRYPT.PNG, HELP_DECRYPT.HTML a HELP_DECRYPT.TXT, které se nacházejí v každé zakódované složce.

Tyto soubory obsahují pokyny, jak mohou uživatelé své soubory dešifrovat, a jak používat Tor prohlížeč (anonymní webový prohlížeč). Kybernetičtí útočníci se totiž samozřejmě snaží zůstat co nejvíce anonymní. Počítačoví uživatelé by měli vzít na vědomí, že jakkoliv odstranění infekce z počítače jako takové příliš komplikované není, dešifrování uzamčených souborů (šifrovaných pomocí kódování RSA 2048) je bez zaplacení výkupného prakticky nemožné. Při provádění našeho šetření nebyly známy žádné nástroje ani způsoby, jakými by bylo možné virem CryptoWall uzamčené soubory dešifrovat. Vezměte prosím dále na vědomí, že privátní klíč požadovaný pro odemčení souborů je uložen na CryptoWall serverech, spravovaných kybernetickými zločinci - z tohoto důvodu je proto nejlepším řešením odstranění ransomwarového viru a následné obnovení zasažených dat ze zálohy.

Snímek zprávy zobrazované v souborech HELP_DECRYPT.PNG, HELP_DECRYPT.HTML a HELP_DECRYPT.TXT:

cryptowall pokyny pro dešifrování

Snímky souborů CryptoWall 3.0 HELP_DECRYPT.PNG, HELP_DECRYPT.HTML a HELP_DECRYPT.TXT:

cryptowall 3.0 hlavní obrazovka cryptowall 3.0 soubor help decrypt html cryptowall 3.0 soubor help decrypt png cryptowall 3.0 soubor help decrypt txt

Ransomwarové infekce, jako například právě CryptoWall (včetně CryptoDefense, CryptorBit a Cryptolocker) jsou pádným důvodem pro to si svá důležitá data vždy pravidelně zálohovat. Vezměte v tomto kontextu současně na vědomí, že zaplacení požadovaného výkupného se prakticky rovná zaslání peněz internetovým zločincům, čímž nejenže podpoříte jejich model "podnikání", ale zároveň ani nemáte žádnou záruku, že Vaše data budou následně skutečně dekódována. Pro vyhnutí se takovýmto ransomwarovým infekcím proto buďte vždy náležitě ostražití zejména při otevírání emailových zpráv, neboť kybernetičtí zločinci často využívají pro zmatení počítačových uživatelů nakažené emailové přílohy (například "Upozornění o zásilce UPS"). Šetření rovněž prokázala, že kybernetičtí zločinci nezřídka využívají též P2P sítí a falešných stahování, se kterými jsou ransomwarové infekce jako CryptoWall svazovány. 

 

Zpráva zobrazovaná v souborech HELP_DECRYPT.PNG, HELP_DECRYPT.HTML and HELP_DECRYPT.TXT:

What happened to your files?

 

All of your files were protected by a strong encryption with RSA-2048 using CryptoWall. More information about the encryption keys using RSA-2048 can be found here: en.wikipedia.org/wiki/RSA_(crypto system)

 

What does this mean?

 

This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.

 

How did this happen?

 

Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. All your files were encrypted with the public key, which has been transferred to your computer via the Internet. Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

 

What do I do?

 

Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed. If you really value your data, then we suggest you do not waste valuable time searching for the solutions because they do not exist.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:

 

1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe

 

If for some reasons the addresses are not available, follow these steps:

 

1. Download and install tor-browser: hxxp://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run  the browser and wait for initialization.
3. Type in the address bar: kpai7ycr7jxqkilp.onion/3koe
4. Follow the instructions on the site.

Aktualizace 2. října 2014 - Kybernetičtí zločinci ransomwarový virus CryptoWall dále aktualizovali - nyní se tak na internetu šíří jeho verze CryptoWall 2.0. Zatímco jádro viru zůstalo nezměněné, k němu bylo přidáno následující:

  • Kybernetičtí zločinci zodpovědní za CryptoWall 2.0 nyní používají vlastní Web-to-TOR brány (pay2tor.com, tor2pay.com, pay4tor.com a tor4pay.com) - díky čemuž dokáží zůstat před orgány činnými v trestním řízení zcela anonymní.
  • CryptoWall 2.0 každé oběti vygeneruje jedinečnou bitcoinovou platební adresu (původní verze používala bitcoinovou platební adresu stejnou pro všechny zasažené počítače).
  • Nová verze původní data maže - obeť tak již nemá možnost použít nástroje na obnovení kódovaných souborů.

Snímek ransomwarového viru CryptoWall 2.0:

cryptowall 2.0 ransomware

Aktualizace 14. ledna 2015 - Kybernetiční zločinci začali šířit novou verzi viru CryptoWall 3.0 (tato skrývá díky anynomní síti I2P veškerou C&C komunikaci + vytváří v každé složce nové soubory HELP_DECRYPT.PNG, HELP_DECRYPT.HTML a HELP_DECRYPT.TXT):

cryptowall 3.0 ransomware (help_decrypt virus)

Snímek infikovaného emailu používaného k šíření viru CryptoWall:

Šíření viru cryptowall pomocí spamových zpráv od UPS

Text zobrazený v infikovaných emailových zprávách:

From: UPS Quantum View [auto-notify (at) ups.com]
Subject: UPS Exception Notification, Tracking Number 1Z522A9A6892487822

Discover more about UPS: Visit ups.com
At the request of the shipper, please be advised that delivery of the following shipment has been rescheduled.

Important Delivery Information

Tracking Number: 1Z522A9A6892487822
Rescheduled Delivery Date: 14-April-2014
Exception Reason: THE CUSTOMER WAS NOT AVAILABLE ON THE 1ST ATTEMPT. A 2ND ATTEMPT WILL BE MADE PACKAGE WILL BE DELIVERED NEXT BUSINESS DAY.
Shipment Detail: 1Z522A9A6892487822

Snímek platební stránky viru CryptoWall:

cryptowall captcha

cryptowall dekódovací stránka

 Zpráva zobrazovaná na platební stránce viru CryptoWall:

Decrypt service
Your files are encrypted.
To get the key to decrypt files you have to pay 500 USD/EUR. If payments is not made before [date] the cost of decrypting files will increase 2 times and will be 1000 USD/EUR Prior to increasing the amount left: [count down timer]

 

We are present a special software - CryptoWall Decrypter - which is allow to decrypt and return control to all your encrypted files. How to buy CryptoWall decrypter?

 

1. You should register Bitcoin waller
2. Purchasing Bitcoins - Although it's not yet easy to buy bit coins, it's getting simpler every day.
3. Send 1.22 BTC to Bitcoin address: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Enter the Transaction ID and select amount.
5. Please check the payment information and click "PAY".

Vezměte prosím na vědomí, že při psaní tohoto článku nebyly známy žádné způsoby, které by dokázaly, vyjma zaplacení výkupného, CryptoWallem zašifrované soubory odemknout. Podle následující příručky pro odstranění tudíž dosáhnete odstranění ransomwarové infekce z počítače, nicméně infikované soubory zůstanou i nadále uzamknuty. V případě, že způsoby pro odemknutí souborů vyjdou v budoucnu najevo, budeme informace na těchto stránkách samozřejmě o tyto aktualizovat.

Odstranění viru CryptoWall:

Rychlé menu:

Krok 1

Uživatelé Windows XP a Windows 7:Přepněte počítač do Nouzového režimu. V menu Start zadejte Vypnout, zvolte Restartovat a OK. Během zapínaní se počítače stiskněte opakovaně klávesu F8, dokud se nezobrazí menu Pokročilé Možnosti Windows, potom zvolte Nouzový režim s prací v síti ze seznamu a stiskněte ENTER. 

Nouzový režim s prací v síti

Video ukazující jak zapnout Windows 7 v "Nouzovém režimu se sítí":

Uživatelé Windows 8: Spuštění Windows 8 v Nouzovém režimu s prací v síti - Přejděte na úvodní obrazovku Windows 8, napište Pokročilé, ve výsledcích vyhledávání zvolte Nastavení. Klikněte na pokročilé možnosti spuštění a otevřeném okně "Obecná nastavení počítače" zvolte možnost Pokročilé spuštění. Váš počítač se následně restartuje s menu pokročilými možnostmi spuštění - v těchto klikněte na tlačítko "Poradce při potížích" a následně vyberte "Pokročilé možnosti. Zvolte možnost "Nastavení spuštění". Klikněte na tlačítko "Restartovat". Počítač se následně restartuje, pro spuštění Nouzového režimu s prací v síti následně stiskněte klávesu F5.

Windows 8 Nouzový režim s prací v síti

Video zobrazující spuštění Windows 8 v "Nouzovém režimu s prací v síti":

Krok 2

Přihlašte se na účet, který byl TeslaCryptem napaden. Zapněte internetový prohlížeč a stáhněte věrohodný anti-spyware program. Aktualizujte ho a spusťte úplnou kontrolu systému. Odstraňte všechny položky, které objeví.

▼ Stáhnout odstraňovač CryptoWall 3.0 (HELP_DECRYPT virus)

Stažením kteréhokoliv softwaru ze seznamu na našich internetových stránkách souhlasíte s našimi zásadami ochrany osobních údajů a smluvními podmínkami. Veškeré námi doporučované produkty byly podrobně testovány a schváleny našimi specialisty, jakožto jedny z nejlepších řešení pro odstraňování internetových hrozeb.

Pokud nemůžete Nouzový režim s prací v síti spustit, zkuste funkci Obnovy systému.

Video zobrazující postup pro odstranění ransomwarového viru prostřednictvím "Nouzového režimu s příkazovým řádkem" a "Obnovy systému":

1. Při spouštění počítače stiskněte několikrát klávesu F8, dokud se nezobrazí menu Windows pokročilého nastavení, následně vyberte Nouzový režim s příkazovým řádkem a stiskněte klávesu ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Při spuštění Nouzového režimu s příkazovým řádkem, zadejte: cd restore a stiskněte ENTER.

Obnova systému prostřednictvím příkazu cd restore

3. Následně zadejte: rstrui.exe a stiskněte ENTER.

Obnova systému prostřednictvím příkazu rstrui.exe

4. V otevřeném okně klikněte na "Další".

Obnovení systému - nastavení

5. Zvolte některý z dostupných bodů obnovy a klikněte na "Další" (tímto bude Váš systém obnoven k dřívějšímu datu, kdy ještě nebyl CryptoWall ransomwarovým virem zasažen).

Zvolte bod obnovy

6. V otevřem okně zvolte "Ano".

Spusťte Obnovu systému

7. Po obnově Vašeho počítače k dřívějšímu datu proveďte sken Vašeho počítače pomocí doporučovaného antispywarového software abyste odstranili veškeré zbývající soubory viru CryptoWall.

Některá napadení ransomwarem jsou schopny zašifrovat všechny soubory, které byly uloženy na napadeném PC. Pokud se jedná o takovou situaci, můžete využít některé z nástrojů na seznamu na odšifrování svých souborů.

Pro obnovu souboru na tento klikněte pravým tlačítkem, přejde do Vlastností a následně do záložky Předchozí verze. Pokud je dostupný, vyberte nabídnutý Bod obnovy a klikněte na tlačítko "Obnovit"

Obnova šifrovaných souborů pomocí CryptoDefense

Nemůžete-li spustit Váš počítač v Nouzovém režimu s prací v síti (nebo s příkazovým řádkem)spusťte Váš počítač prostřednictvím záchranného disku. Některé varianty ransomwaru totiž blokují též nouzový režim, v důsledku čehož je jeho odstranění ještě o něco obtížnější. K tomuto postupu budete potřebovat v prvé řadě přístup k jinému počítači.

Pro znovuzískání kontroly nad soubory zašifrovanými virem TeslaCrypt můžete zkusit program zvaný Shadow Explorer. Pro více informací o předmětném programu klikněte zde.

shadow explorer snímek obrazovky

Pro ochranu Vašeho počítače před šifrovacími viry využívejte důvěryhodné antivirové a anti-spywarové programy. Jako další způsob ochrany můžete využít též program CryptoPrevent. (CryptoPrevent uměle zavádí zásady ochrany určitým druhům souborů v registrech a brání tak jejich infekci viry jako například CryptoWall.)

cryptoprevent snímek obrazovky

Další dostupné nástroje pro odstranění viru CryptoWall:

Zdroj: https://www.pcrisk.com/removal-guides/7844-cryptowall-virus