FacebookTwitterLinkedIn

CryptoWall Virus

Conosciuto inoltre come: CryptoWall ransomware
Livello di danno: Medio

CryptoWall virus, istruzioni di rimozione

Cosa è CryptoWall?

CryptoWall è un virus ransomware che si infiltra nel sistema operativo dell'utente attraverso messaggi e-mail infetti e download falsi, video canaglia o aggiornamenti flash falsi. Dopo infiltrazioneessersi infiltrato con successo questo programma maligno crittografa i file memorizzati sul computer dell'utente (*. Doc, *. Docx, *. Xls, *. Ppt, *. Psd, *. Pdf, * eps., *. Ai, *. Cdr, *. jpg, ecc) e invia delle richieste di pagamento di un riscatto di 500 dollari (in Bitcoins) per decriptare i file. I cyber ​​criminali che sono responsabili per il rilascio di questo programma canaglia hanno fatto in modo che si esegua su tutte le versioni di Windows (Windows XP, Windows Vista, Windows 7 e Windows 8). CryptoWall ransomware crea i file DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html e DECRYPT_INSTRUCTION.url in ogni cartella che contiene i file decriptati.

Questi file contengono le istruzioni su come gli utenti possono decifrare i propri file, le istruzioni comprendono l'utilizzo del browser Tor (browser web anonimo). I criminali informatici stanno usando Tor per nascondere la loro identità. Gli utenti di PC dovrebbero sapere che mentre l'infezione in sé non è così complicata da rimuovere, la decrittazione dei file (crittografati utilizzando la crittografia RSA 2048) colpiti da questo programma maligno è impossibile senza pagare il riscatto. Al momento della ricerca non ci sono strumenti o soluzioni in grado di decrittare i file crittografati da CryptoWall. Si noti che la chiave privata che può essere utilizzata per decriptare i file viene memorizzata nei server-comando e controllo CryptoWall che sono gestiti da criminali informatici. La soluzione ideale sarebbe la rimozione di questo virus ransomware e quindi il ripristino dei dati da un backup.

Screenshot di un messaggio che viene presentato nei file DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html e DECRYPT_INSTRUCTION.url:

cryptowall decrypt istruzioni

Infezioni ransomware comeCryptoWall (per esempio CryptoDefense, CryptorBit e Cryptolocker) dovrebbero essere un argomento molto forte per avere sempre copie di backup dei dati memorizzati. Si noti che pagare il riscatto a questo ransomware sarebbe pari a inviare il proprio denaro ai criminali informatici, si potrebbe sostenere il loro modello di business dannoso, inoltre non ci sono garanzie che i file verranno mai decifrati.

Sommario della Minaccia:
NomeCryptoWall ransomware
Tipo di MinacciaRansomware, Crypto Virus
SintomiNon è possibile aprire i file memorizzati sul computer, in precedenza i file funzionali ora hanno un'estensione diversa, ad esempio my.docx.locked. Un messaggio di richiesta di riscatto viene visualizzato sul desktop. I criminali informatici chiedono di pagare un riscatto (di solito in bitcoin) per sbloccare i file.
Metodi di distribuzioneAllegati e-mail infetti (macro), siti web torrent, annunci dannosi.
DanniTutti i file sono crittografati e non possono essere aperti senza pagare un riscatto. È possibile installare ulteriori trojan di password e trojan e infezioni da malware insieme a un'infezione da ransomware.
Rimozione

Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner.
▼ Scarica Combo Cleaner
Lo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più.

Per evitare che il proprio computer sia infettato con tali infezioni ransomware gli utenti dovrebbero stare molto attenti quando aprono messaggi di posta elettronica, i criminali informatici utilizzano vari titoli accattivanti per ingannare gli utenti di PC ad aprire gli allegati e-mail infetti, ad esempio, "UPS Notifica di eccezione". Recenti ricerche dimostrano che i criminali informatici utilizzano anche reti P2P e download falsi che contengono le infezioni ransomware in bundle per diffondere CryptoWall.

Messaggio presentato nei file DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html and DECRYPT_INSTRUCTION.url:

What happened to your files?

 

All of your files were protected by a strong encryption with RSA-2048 using CryptoWall. More information about the encryption keys using RSA-2048 can be found here: en.wikipedia.org/wiki/RSA_(crypto system)

 

What does this mean?

 

This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.

 

How did this happen?

 

Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. All your files were encrypted with the public key, which has been transferred to your computer via the Internet. Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

 

What do I do?

 

Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed. If you really value your data, then we suggest you do not waste valuable time searching for the solutions because they do not exist.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:

 

1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe

 

If for some reasons the addresses are not available, follow these steps:

 

1. Download and install tor-browser: hxxp://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run  the browser and wait for initialization.
3. Type in the address bar: kpai7ycr7jxqkilp.onion/3koe
4. Follow the instructions on the site.

Screenshot di una email infetta presentata nella distribuzione di CryptoWall:

cryptowall distribuzione attraverso UPS spam emails

Testo presente nelle email infette:

From: UPS Quantum View [auto-notify (at) ups.com]
Subject: UPS Exception Notification, Tracking Number 1Z522A9A6892487822

Discover more about UPS: Visit ups.com
At the request of the shipper, please be advised that delivery of the following shipment has been rescheduled.

Important Delivery Information

Tracking Number: 1Z522A9A6892487822
Rescheduled Delivery Date: 14-April-2014
Exception Reason: THE CUSTOMER WAS NOT AVAILABLE ON THE 1ST ATTEMPT. A 2ND ATTEMPT WILL BE MADE PACKAGE WILL BE DELIVERED NEXT BUSINESS DAY.
Shipment Detail: 1Z522A9A6892487822

Screenshot della pagina di pagamento di CryptoWall:

cryptowall website captcha protection

cryptowall pagina di decriptazione

 Messaggio presente nella pagina di pagamento di CryptoWall:

Decrypt service
Your files are encrypted.
To get the key to decrypt files you have to pay 500 USD/EUR. If payments is not made before [date] the cost of decrypting files will increase 2 times and will be 1000 USD/EUR Prior to increasing the amount left: [count down timer]

 

We are present a special software - CryptoWall Decrypter - which is allow to decrypt and return control to all your encrypted files. How to buy CryptoWall decrypter?

 

1. You should register Bitcoin waller
2. Purchasing Bitcoins - Although it's not yet easy to buy bit coins, it's getting simpler every day.
3. Send 1.22 BTC to Bitcoin address: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Enter the Transaction ID and select amount.
5. Please check the payment information and click "PAY".

Si noti che, al momento della stesura di questo articolo non ci sono strumenti noti che potrebbero decifrare i file crittografati da CryptoWall senza pagare il riscatto. Seguendo questa guida di rimozione sarete in grado di rimuovere questo ransomware dal computer ma i file interessati rimarranno crittografati. Aggiorneremo questo articolo non appena ci saranno ulteriori informazioni per quanto riguarda la decrittografia dei file compromessi.

Rimozione di CryptoWall virus:

Rimozione automatica istantanea dei malware: La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.

Menu rapido:

Step 1

Windows XP e Windows 7: Durante il processo di avviamento premere il tasto F8 sulla tastiera del computer più volte finché menu Opzioni avanzate di Windows si presenta, quindi selezionare la modalità provvisoria con rete dall'elenco e premere INVIO.

Modalità provvisoria con rete

Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":

Windows 8: Vai a Windows 8 schermata di Start, digitare avanzato, nei risultati di ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra aperta "Impostazioni generali del PC" selezionare avvio avanzate. Fare clic sul pulsante "Riavvia ora". Il computer verrà riavviato in "menu Opzioni di avvio avanzate". Fare clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate clicca su "Impostazioni di avvio". Fare clic sul pulsante "Restart". Il PC si riavvia in schermata Impostazioni di avvio. Premere il tasto "5" per l'avvio in modalità provvisoria con prompt dei comandi.

Windows 8 modalità provvisoria con rete

Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":

Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.

windows 10 modalità provvisoria con rete

Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":

Step 2

Accedere all'account che è stato infettato con il virus CryptoWall. Avviare il browser Internet e scaricare un programma anti-spyware legittimo. Aggiornare il software anti-spyware e avviare una scansione completa del sistema. Rimuovere tutte le voci che rileva.

 

Se non è possibile avviare il computer in modalità provvisoria con rete, prova a fare un ripristino di sistema.

Video che mostra come rimuovere il virus ransomware con "Modalità provvisoria con prompt dei comandi" e "Ripristino configurazione di sistema":

1. Avviare il computer in modalità provvisoria con prompt dei comandi - Durante il processo di avviamento del computer premere il tasto F8 sulla tastiera più volte finché menu Opzioni avanzate di Windows si presenta, quindi selezionare la modalità provvisoria con prompt dei comandi dall'elenco e premere INVIO.

Avviare il computer in modalità provvisoria con prompt dei comandi

2.Quando Modalità con prompt dei comandi si carica immettere la seguente riga: cd restore e premere INVIO.

ripristino del sistema utilizzando prompt dei comandi cd restore.

3. Dopo digitare questa riga: rstrui.exe e premere invio.

ripristino del sistema utilizzando prompt dei comandi rstrui.exe

4. Nella finestra che si apre clicca su "avanti".

ripristinare i file e le impostazioni di sistema

5. Selezionare uno dei punti di ripristino disponibili e fare clic su "avanti" (questo sarà ripristinare il sistema del computer a uno stato precedente e la data, prima che il virus ransomware CryptoWall infiltrato vostro PC).

seleziona un punto di ripristino

6. Nella finestra aperta clicca su "si".

eseguire il ripristino del sistema

7. Dopo aver ripristinato il computer a una data precedente effettua il download e la scansione del PC con un software di rimozione di malware consigliato di eliminare tutti i file CryptoWall sinistra.

Per ripristinare i singoli file crittografati questo gli utenti di PC ransomware potrebbe provare a utilizzare le versioni precedenti di Windows dispongono. Questo metodo è efficace solo se Ripristino configurazione di sistema la funzione è stata attivata su un sistema operativo infetto. Si noti che alcune varianti di CryptoWall sono noti per rimuovere copie shadow volume dei file quindi questo metodo potrebbe non funzionare su tutti i computer.

Per ripristinare un file fare clic destro sul file, andare in Proprietà e selezionare la scheda Versioni precedenti. Se il file selezionato aveva il punto di ripristino selezionarla e fare clic su un pulsante "Ripristina".

ripristina i file decriptati da CryptoDefense

Se non è possibile avviare il computer in modalità provvisoria con rete (o con prompt dei comandi), si dovrebbe avviare il computer utilizzando un disco di ripristino. Alcune varianti di questo ransomware disabilita modalità sicura rendendo di rimozione più complicato. Per questo passaggio sarà necessario accedere a un altro computer.

Altri strumenti noti per rimuovere CryptoWall ransomware:

Fonte: https://www.pcrisk.com/removal-guides/7844-cryptowall-virus

▼ Mostra Discussione

Informazioni sull'autore:

Tomas Meskauskas

Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online. Leggi di più sull'autore.

Il portale per la sicurezza di PCrisk è creato grazie all'unione di ricercatori di sicurezza per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sugli autori ed i ricercatori che stanno lavorando su PCrisk possono essere trovate nella nosta pagina di contatti.

Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.

Chi siamo

PCrisk è un portale di sicurezza informatica, il suo scopo è informare gli utenti di Internet sulle ultime minacce digitali. I nostri contenuti sono forniti da esperti di sicurezza e ricercatori professionisti di malware. Leggi di più su di noi.

Codice QR
CryptoWall ransomware Codice QR
Eseguire la scansione di questo codice QR per avere un veloce accesso alla guida di rimozione di CryptoWall ransomware sul tuo dispositivo mobile.
Noi raccomandiamo:

Sbarazzati oggi stesso delle infezioni malware dai sistemi Windows:

▼ RIMUOVILO SUBITO
Scarica Combo Cleaner

Piattaforma: Windows

Valutazione degli Editori per Combo Cleaner:
ValutazioneEccezionale!

[Inizio pagina]

Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più.