Virus Crypt0L0cker

Známý též jako: Crypt0L0cker virus
Rozšíení: Nízké
Stupe poškození: Závažné

Návod na odstranění ransomwaru Crypt0L0cker

Co je to Crypt0L0cker?

Crypt0L0cker je ransomwarová infekce, která napadá počítače prostřednictvím infikovaných emailových příloh (nejčastěji pojmenovaných jako "sledování zásilky", "neuhrazené faktury", ”pokuta za překročení povolené rychlosti”, apod.). Vezměte přitom na vědomí, že kybernetičtí zločinci pojmenovávají tyto soubory tak, aby jejich spamové zprávy byly pro koncového uživatele co možná nejdůvěryhodnější. Například uživatele ve Velké Británii se tak snaží ošálit zprávami, tvrdícími, že pochází od Royal Mail, počítačové uživatele v Austrálii od Australia Post, atp. Po úspěšném proniknutí do systému následně předmětný malware zašifruje jednotlivé soubory v počítači a pro jejich odblokování požaduje zaplacení výkupného ve výši 2,2 bitcoinu. Crypt0l0cker přitom zakóduje všechny nalezené soubory v počítači vyjma souborů s příponami .html, .inf, .manifest, .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe,  .avi, .wav, .mp3, .gif, .ico, .png, .bmp a .txt (tj. souborů nutných pro chod systému Windows).

Zakódovaným souborům je následně přiřazena přípona .encrypted, přičemž v každé složce obsahující zašifrované soubory Crypt0l0cker následně vytvoří nové soubory DECRYTP_INSTRUCTIONS.html a DECRYPT_INSTRUCTIONS.txt, obsahující pokyny pro postup pro zaplacení výkupného. Předmětný ransomware je zaměřen na počítaové uživatele z Austrálie, Rakouska, Kanady, České republiky, Itálie, Irska, Francie, Německa, Nizozemí, Korei, Thajska, Nového Zélandu, Španělska, Turecka a Velké Británie. Jendá se o aktualizovanou podobu předchozí verze známé pod názvem TorrentLocker. Kybernetičtí zločinci zodpovědní za tvorbu ransomwaru Crypt0l0cker pro výběr plateb využívají sítě TOR, která umožňuje, aby jejich totožnost i lokace zůstaly v anonymitě.

Crypt0L0cker virus

Ransomwarové infekce jako Crypt0L0cker (včetně CryptoWall, TeslaCrypt a CTB-Locker) představují pádný argument pro to si svá data vždy důkladně zálohovat. Vezměte v tomto ohledu současně v potaz, že zaplacení výkupného se fakticky rovná přímému zaslání peněz internetovým zločincům, čímž tak fakticky jen pouze podporujete jejich nezákonný model podnikání a nadto nemáte ani žádnou jistotu, že Vaše data budou skutečně dekódována. Pro vyhnutí se takovýmto ransomwarovým infekcím proto vždy zachovávejte náležitou opatrnost zejména při otevírání emailových zpráv, neboť zejména jejich prostřednictvím se kybernetičtí zločinci snaží počítačové uživatele oklamat. Současně si dovolujeme uvést, že při psaní tohoto článku nebyl znám žádný způsob, jak kromě zaplacení výkupného soubory zašifrované malwarem Crypt0locker odblokovat.

Kybernetičtí zločinci z důvodu zacílení na více zemí ransomware Crypt0l0cker přeložili do několika jazyků, níže jsou uvedeny verze zaměřené na uživatele v Korei:

Crypt0L0cker virus zaměřený na uživatele v Korey

Snímek souboru DECRYTP_INSTRUCTIONS.html:

Soubor DECRYTP_INSTRUCTIONS.html

Text zobrazený v souboru DECRYTP_INSTRUCTIONS.html:

WARNING we have encrypted your files with Crypt0L0cker virus. Your important files (including those on the network disks, USB, etc): photos, videos, documents, etc. were encrypted with our Crypt0L0cker virus. The only way to get your files back is to pay us. Otherwise, your files will be lost. Caution: Removing of Crypt0L0cker will not restore access to your encrypted files.

Snímek souboru DECRYPT_INSTRUCTIONS.txt:

Crypt0L0cker soubor decrypt_instructions.txt

Text zobrazený v souboru DECRYTP_INSTRUCTIONS.html:

!!! WE HAVE ENCRYTPED YOUR FILES WITH Crypt0L0cker VIRUS !!!
What happened to my files? Your important files: photos, videos, document, etc. were encrypted with our Crypt0L0cker virus. This virus uses very strong encryption algorithm - RSA -2048. Breaking of RSA-2048 encryption algorithm is impossible without special decryption key. How can I get my files back? Your files are now unusable and unreadable, you can verify it by trying to open them. The only way to restore them to a normal condition is to use our special decryption software. You can buy this decryption software on our website.

Internetová stránka (dostupná prostřednictvím sítě Tor) používaná kybernetickými zločinci pro výběr výkupného (2.2 BTC):

Crypt0L0cker internetová stránka pro platbu výkupného

Příklady infikovaných emailových zpráv používaných pro šíření ransomwaru Crypt0L0cker:

infikovaná emailová zpráva užívaná pro šíření Crypt0L0cker 1 infikovaná emailová zpráva užívaná pro šíření Crypt0L0cker 2 infikovaná emailová zpráva užívaná pro šíření Crypt0L0cker 3 infikovaná emailová zpráva užívaná pro šíření Crypt0L0cker 4

Snímky škodlivých internetových stránek používaných pro šíření ransomwaru Crypt0L0cker:

Internetová stránka užívaná pro šíření Crypt0L0cker 1 Internetová stránka užívaná pro šíření Crypt0L0cker 2 Internetová stránka užívaná pro šíření Crypt0L0cker 3 Internetová stránka užívaná pro šíření Crypt0L0cker 4

Vezměte prosím na vědomí, že při psaní tohoto článku nebyly známy žádné způsoby, které by dokázaly, vyjma zaplacení výkupného, Crypt0l0ckerem zašifrované soubory odemknout (Vyzkoušet je nicméně možné službu Shadow copy). Podle následující příručky pro odstranění tudíž dosáhnete odstranění ransomwarové infekce z počítače, nicméně infikované soubory zůstanou i nadále uzamknuty. V případě, že způsoby pro odemknutí souborů vyjdou v budoucnu najevo, budeme informace na těchto stránkách samozřejmě o tyto aktualizovat.

Návod na odstranění ransomwaru Crypt0L0cker:

Rychlé menu:

Krok 1

Uživatelé Windows XP a Windows 7:Přepněte počítač do Nouzového režimu. V menu Start zadejte Vypnout, zvolte Restartovat a OK. Během zapínaní se počítače stiskněte opakovaně klávesu F8, dokud se nezobrazí menu Pokročilé Možnosti Windows, potom zvolte Nouzový režim s prací v síti ze seznamu a stiskněte ENTER. 

Nouzový režim s prací v síti

Video ukazující jak zapnout Windows 7 v "Nouzovém režimu se sítí":

Uživatelé Windows 8: Spuštění Windows 8 v Nouzovém režimu s prací v síti - Přejděte na úvodní obrazovku Windows 8, napište Pokročilé, ve výsledcích vyhledávání zvolte Nastavení. Klikněte na pokročilé možnosti spuštění a otevřeném okně "Obecná nastavení počítače" zvolte možnost Pokročilé spuštění. Váš počítač se následně restartuje s menu pokročilými možnostmi spuštění - v těchto klikněte na tlačítko "Poradce při potížích" a následně vyberte "Pokročilé možnosti. Zvolte možnost "Nastavení spuštění". Klikněte na tlačítko "Restartovat". Počítač se následně restartuje, pro spuštění Nouzového režimu s prací v síti následně stiskněte klávesu F5.

Windows 8 Nouzový režim s prací v síti

Video zobrazující spuštění Windows 8 v "Nouzovém režimu s prací v síti":

Krok 2

Přihlašte se na účet, který byl Crypt0L0ckerem napaden. Zapněte internetový prohlížeč a stáhněte věrohodný anti-spyware program. Aktualizujte ho a spusťte úplnou kontrolu systému. Odstraňte všechny položky, které objeví.

▼ Stáhnout odstraňovač Crypt0L0cker virus

Stažením kteréhokoliv softwaru ze seznamu na našich internetových stránkách souhlasíte s našimi zásadami ochrany osobních údajů a smluvními podmínkami. Veškeré námi doporučované produkty byly podrobně testovány a schváleny našimi specialisty, jakožto jedny z nejlepších řešení pro odstraňování internetových hrozeb.

Pokud nemůžete Nouzový režim s prací v síti spustit, zkuste funkci Obnovy systému.

Video zobrazující postup pro odstranění ransomwarového viru prostřednictvím "Nouzového režimu s příkazovým řádkem" a "Obnovy systému":

1. Při spouštění počítače stiskněte několikrát klávesu F8, dokud se nezobrazí menu Windows pokročilého nastavení, následně vyberte Nouzový režim s příkazovým řádkem a stiskněte klávesu ENTER.

Spuštění počítače v Nouzovém režimu s příkazovým řádkem

2. Při spuštění Nouzového režimu s příkazovým řádkem, zadejte: cd restore a stiskněte ENTER.

Obnova systému prostřednictvím příkazu cd restore

3. Následně zadejte: rstrui.exe a stiskněte ENTER.

Obnova systému prostřednictvím příkazu rstrui.exe

4. V otevřeném okně klikněte na "Další".

Obnovení systému - nastavení

5. Zvolte některý z dostupných bodů obnovy a klikněte na "Další" (tímto bude Váš systém obnoven k dřívějšímu datu, kdy ještě nebyl Crypt0L0ckerem ransomwarovým virem zasažen).

Zvolte bod obnovy

6. V otevřem okně zvolte "Ano".

Spusťte Obnovu systému

7. Po obnově Vašeho počítače k dřívějšímu datu proveďte sken Vašeho počítače pomocí doporučovaného antispywarového software abyste odstranili veškeré zbývající soubory viru Crypt0L0cker.

Některá napadení ransomwarem jsou schopny zašifrovat všechny soubory, které byly uloženy na napadeném PC. Pokud se jedná o takovou situaci, můžete využít některé z nástrojů na seznamu na odšifrování svých souborů.

Pro obnovu souboru na tento klikněte pravým tlačítkem, přejde do Vlastností a následně do záložky Předchozí verze. Pokud je dostupný, vyberte nabídnutý Bod obnovy a klikněte na tlačítko "Obnovit"

Odstranění zašifrovaných soborů pomocí CryptoDefense

Nemůžete-li spustit Váš počítač v Nouzovém režimu s prací v síti (nebo s příkazovým řádkem), spus'tte Váš počítač pomocí záchranného disku

Některé varianty ransomwaru totiž blokují též nouzový režim, v důsledku čehož je jeho odstranění ještě o něco obtížnější. K tomuto postupu budete potřebovat v prvé řadě přístup k jinému počítači.

Pro znovuzískání kontroly nad soubory zašifrovanými virem Crypt0L0cker můžete zkusit program zvaný Shadow Explorer. Pro více informací o předmětném programu klikněte zde.

Snímek programu shadow explorer

 Pro ochranu Vašeho počítače před šifrovacími viry využívejte důvěryhodné antivirové a anti-spywarové programy. Jako další způsob ochrany můžete využít též program CryptoPrevent. (CryptoPrevent uměle zavádí zásady ochrany určitým druhům souborů v registrech a brání tak jejich infekci viry jako například Crypt0L0cker.)

Snímek programu cryptoprevent

Další dostupné nástroje pro odstranění viru Crypt0L0cker:

Zdroj: https://www.pcrisk.com/removal-guides/8930-crypt0l0cker-virus