Virus 'Your personal files are encrypted'

Známý též jako: Critroni ransomware nebo CTB-Locker
Rozšíení: Nízké
Stupe poškození: Závažné

Návod na odstranění viru 'Your personal files are encrypted'

Co je virus 'Your personal files are encrypted' (Critroni ransomware)?

Critroni ransomwarový virus napadá operační systémy prostřednictvím infikovaných emailových zpráv a falešných stahování (například škodlivých video přehrávačů nebo falešných Flash aktualizací). Po úspěšném proniknutí tento škodlivý program zašifruje soubory uložené v počítači (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) a následně pro jejich dešifrování požaduje výkupné ve výši $300 (v Bitcoinech) (šifrované dokumenty mají přidělenu příponu .ctbl). Kybernetičtí zločinci stojící za předmětným programem jej uzpůsobili tak, aby fungoval na všech operačních systémech Windows (Windows XP, Windows Vista, Windows 7 a Windows 8). Critroni ransomwarový virus současně v každé ze šifrovaných složek, obsahujících uzamčené soubory mj. vytvoří též zvláštní soubory AllFilesAreLocked.bmp, DecryptAllFiles.txt a [sedm náhodných písmen].html.

Tyto soubory obsahují instrukce, jakým způsobem mohou uživatelé své soubory prostřednictvím Tor prohlížeče (anonymního internetového prohlížeče)dešifrovat. Kybernetičtí zločinci předmětný Tor prohlížeč využívají proto, že dokáže efektivně skrýt jejich totožnost. Počítačoví uživatelé by měli vzít na vědomí, že jakkoliv odstranění infekce z počítače jako takové příliš komplikované není, dešifrování uzamčených souborů (šifrovaných pomocí kódování RSA 2048) je bez zaplacení výkupného prakticky nemožné. Při provádění našeho šetření nebyly známy žádné nástroje ani způsoby, jakými by bylo možné virem Critroni uzamčené soubory dešifrovat. Vezměte prosím dále na vědomí, že privátní klíč požadovaný pro odemčení souborů je uložen na Critroni serverech, spravovaných kybernetickými zločinci - z tohoto důvodu je proto nejlepším řešením odstranění ransomwarového viru a následné obnovení zasažených dat ze zálohy.

Virus (citroni) ransomware - Your personal files are encrypted

Ransomwarové infekce, jako například právě Critroni (včetně CryptoWall, CryptoDefense, CryptorBit a Cryptolocker) jsou pádným důvodem pro to si svá důležitá data vždy pravidelně zálohovat. Vezměte v tomto kontextu současně na vědomí, že zaplacení požadovaného výkupného se prakticky rovná zaslání peněz internetovým zločincům, čímž nejenže podpoříte jejich model "podnikání", ale zároveň ani nemáte žádnou záruku, že Vaše data budou následně skutečně dekódována. Pro vyhnutí se takovýmto ransomwarovým infekcím proto buďte vždy náležitě ostražití zejména při otevírání emailových zpráv, neboť kybernetičtí zločinci často využívají pro zmatení počítačových uživatelů nakažené emailové přílohy (například "Upozornění o zásilce UPS" nebo "Nedoručitená FedEx zásilka" apod.). Šetření rovněž prokázala, že kybernetičtí zločinci nezřídka využívají též P2P sítí a falešných stahování, se kterými jsou ransomwarové infekce svazovány. Současný virus 'Your personal files are encrypted' se šíří v anglickém a ruském jazyce, na pozoru před podobným malwarem by tak měli být zejména lidé mluvící těmito jazyky.

Aktualizace - 20. ledna 2015 - Kybernetičtí zločinci začali šířit novou verzi CTB-Lockeu zaměřenou na USA, Itálii, Nizozemí a Německo. Tato varianta se šíří převážně prostřednictvím zpráv o faxové zprávě s infikovanými přílohami. Kybernetičtí zločinci současně prodloužili lhůtu, ve které má být požadované výkupné zaplaceno, a to z původních 72 hodin na nynějších 96 hodin:

ctb locker v holandštině ctb locker v němčině ctb locker v italštině ctb locker v angličtině

Zpráva zobrazovaná v souborech AllFilesAreLocked.bmp DecryptAllFiles.txt a [7 náhodných písmen].html:

Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. If you see the main locker window, follow the instructions on the locker. Otherwise, it's seems that you or your antivirus deleted the locker program. Now you have the last chance to decrypt your files.

1. Type the address hxxp://torproject.org in your Internet browser.
   It opens the Tor site.

2. Press 'Download Tor', then press 'DOWNLOAD Tor Browser Bundle',
   install and run it.

3. Now you have Tor Browser. In the Tor Browser open the hxxp://zaxseiufetlkwpeu.onion
   Note that this server is available via Tor Browser only.
   Retry in 1 hour if site is not reachable.

4. Copy and paste the following public key in the input form on server. Avoid missprints.
436VPT-XI445Z-X4CFSL-MPOT6U-PQL2TK-74RNAQ-XYCCWO-ADYDL6
27UGA3-4YIAVP-IF3TTK-YGXGAI-3FATAX-SFK2XJ-VMELOS-YQNMI7
Q456FO-OVG476-FXKES2-TIAVXZ-ME2RLY-OWBKKV-L7EWNS-KYSWLB
5. Follow the instructions on the server.

Snímek obrazovky infikované emailové zprávy, užívané pro šíření viru 'Your personal files are encrypted':

Your personal files are encrypted (citroni) ransomwarový virus - emailová zpráva

Text uvedený v infikovaných emailových zprávách:

Subject: UPS notification
From: United Parcel Service (0511notify (at) ups.com)

 Dear Customer,

 

    This is a follow-up on your package delivery (tracking number 0p2uYq5RIho). The package contained in the above-mentioned shipment was not accepted at the destination address. Please contact your local UPS office and produce the printed delivery sticker, included in this email attachment. Please note that in case of a failure to contact your local UPS office within 21 days the parcel will be returned to sender.

 

    Happy to serve you,
    UPS.com

    This is automatically generated delivery status email, please do to reply to it.

Snímek souboru AllFilesAreLocked.bmp:

citroni allfilesarelocked bmp

Snímek souboru DecryptAllFiles.txt:

citroni decryptallfiles txt

Snímek souboru [sedm náhodných písmen].html:

citroni decrypt html

Platební stránka viru 'Your personal files are encrypted':

Platební stránka Critroni viru 'Your personal files are encrypted'

 Zpráva zobrazované na platební stránce viru 'Your personal files are encrypted':

Payment required.
Server accepts payments in Bitcoin (BTC) only.
1. Pay amount of 0.2 BTC (about of 24 USD) to address - Bitcoin wallet address.
2. Transaction will take about 15-30 minutes to confirm.
Decryption will start automatically. Do not: power off computer, run antivirus program, disable Internet connection. Failures during key recovery and file decryption may lead to accidental damage of files. If you have no Bitcoins press ‘Exchange’.

Směnná měnová stránka viru Critroni:

Směnná měnová stránka viru Critroni (na bitcoiny)

Poznámka: při psaní tohoto článku nebyly známy žádné způsoby (kromě zaplacení výkupného), které by dokázaly Critroni zašifrované soubory odemknout. Podle následující příručky pro odstranění tudíž dosáhnete odstranění ransomwarové infekce z počítače, nicméně infikované soubory zůstanou i nadále uzamknuty. V případě, že způsoby pro odemknutí souborů vyjdou v budoucnu najevo, budeme informace na těchto stránkách samozřejmě o tyto aktualizovat.

Odstranění viru Critroni:

Rychlé menu:

Krok 1

Uživatelé Windows XP a Windows 7: Přepněte počítač do Nouzového režimu. V menu Start zadejte Vypnout, zvolte Restartovat a OK. Během zapínaní se počítače stiskněte opakovaně klávesu F8, dokud se nezobrazí menu Pokročilé Možnosti Windows, potom zvolte Nouzový režim s prací v síti ze seznamu a stiskněte ENTER. 

Nouzový režim s prací v síti

Video ukazující jak zapnout Windows 7 v "Nouzovém režimu se sítí":

Uživatelé Windows 8: Spuštění Windows 8 v Nouzovém režimu s prací v síti - Přejděte na úvodní obrazovku Windows 8, napište Pokročilé, ve výsledcích vyhledávání zvolte Nastavení. Klikněte na pokročilé možnosti spuštění a otevřeném okně "Obecná nastavení počítače" zvolte možnost Pokročilé spuštění. Váš počítač se následně restartuje s menu pokročilými možnostmi spuštění - v těchto klikněte na tlačítko "Poradce při potížích" a následně vyberte "Pokročilé možnosti. Zvolte možnost "Nastavení spuštění". Klikněte na tlačítko "Restartovat". Počítač se následně restartuje, pro spuštění Nouzového režimu s prací v síti následně stiskněte klávesu F5.

Windows 8 Nouzový režim s prací v síti

Video zobrazující spuštění Windows 8 v "Nouzovém režimu s prací v síti":

Krok 2

Přihlašte se na účet, který je Critroni virem napaden. Zapněte internetový prohlížeč a stáhněte věrohodný anti-spyware program. Aktualizujte ho a spusťte úplnou kontrolu systému. Odstraňte všechny položky, které objeví.

▼ Stáhnout odstraňovač Critroni ransomware nebo CTB-Locker

Stažením kteréhokoliv softwaru ze seznamu na našich internetových stránkách souhlasíte s našimi zásadami ochrany osobních údajů a smluvními podmínkami. Veškeré námi doporučované produkty byly podrobně testovány a schváleny našimi specialisty, jakožto jedny z nejlepších řešení pro odstraňování internetových hrozeb.

Pokud nemůžete Nouzový režim s prací v síti spustit, zkuste funkci Obnovy systému.

Video zobrazující postup pro odstranění ransomwarového viru prostřednictvím "Nouzového režimu s příkazovým řádkem" a "Obnovy systému":

1. Zapněte počítač v Nouzovém režimu s příkazovým řádkem - během zapínání počítače stiskněte několiktrát F8 dokud se nezobrazí Pokročilé možnosti Windows a potom vyberte Nouzový režim s příkazovým řádkem ze seznamu a stiskněte ENTER.

Spuštění počítače v Nouzovém režimu s příkazovým řádkem

2. Při spuštění Nouzového režimu s příkazovým řádkem, zadejte: cd restore a stiskněte ENTER.

Obnova systému prostřednictvím příkazu cd restore

3. Následně zadejte: rstrui.exe a stiskněte ENTER.

Obnova systému prostřednictvím příkazu rstrui.exe

4. V otevřeném okně klikněte na "Další".

Obnovení systému - nastavení

5. Zvolte některý z dostupných bodů obnovy a klikněte na "Další" (tímto bude Váš systém obnoven k dřívějšímu datu, kdy ještě nebyl Critroni ransomwarovým virem zasažen).

Zvolte bod obnovy

6. V otevřeném okně klikněte na "Ano".

Spusťte Obnovu systému

7. Po obnově Vašeho počítače k dřívějšímu datu proveďte sken Vašeho počítače pomocí doporučovaného antispywarového software abyste odstranili veškeré zbývající soubory viru Critroni.

Některá napadení ransomwarem jsou schopny zašifrovat všechny soubory, které byly uloženy na napadeném PC. Pokud se jedná o takovou situaci, můžete využít některé z nástrojů na seznamu na odšifrování svých souborů.

 Pro obnovu souboru na tento klikněte pravým tlačítkem, přejde do Vlastností a následně do záložky Předchozí verze. Pokud je dostupný, vyberte nabídnutý Bod obnovy a klikněte na tlačítko "Obnovit".

Obnovení zašifrovaných souborů pomocí CryptoDefense

Nemůžete-li spustit Váš počítač v Nouzovém režimu s prací v síti (nebo s příkazovým řádkem), spusťte Váš počítač prostřednictvím záchranného disku. Některé varianty ransomwaru totiž blokují též nouzový režim, v důsledku čehož je jeho odstranění ještě o něco obtížnější. K tomuto postupu budete potřebovat v prvé řadě přístup k jinému počítači.

Další dostupné nástroje pro odstranění viru Critroni:

Zdroj: https://www.pcrisk.com/removal-guides/8120-your-personal-files-are-encrypted-virus

Naše příruky pro odstranění malwaru jsou zdarma. Chcete-li nás podpořit, můžete nám zaslat i drobný finanční příspěvek.

Instrukce pro odstranění v dalších jazycích
QR kód
Critroni ransomware nebo CTB-Locker QR kód
QR kód (Quick Response Code) je strojově čitelný kód, v němž jsou uloženy údaje o URL a další informace. Tento kód muže být přečten prostřednictvím kamery na chytrém telefonu nebo tabletu. Načtením tohoto QR kódu budete mít možnost snadného přístupu k odstranění Critroni ransomware nebo CTB-Locker reklam na Vašem mobilním zařízení.
Zkontrolovat můj počítač
▼ STÁHNOUT
Odstraňovač Critroni ransomware nebo CTB-Locker

Stažením kteréhokoliv softwaru ze seznamu na našich internetových stránkách souhlasíte s našimi zásadami ochrany osobních údajů a smluvními podmínkami. Bezplatný skener od SpyHunter pro detekci malware, pro odstranění nalezených infekcí bude nutné zakoupit plnou verzi výrobku. Více informací o SpyHunter. Přejete-li si SpyHunter odinstalovat, postupujte podle následujících pokynů.