CryptoWall Virus
Scitto da Tomas Meskauskas il (aggiornato)
CryptoWall virus, istruzioni di rimozione
Cosa è CryptoWall?
CryptoWall è un virus ransomware che si infiltra nel sistema operativo dell'utente attraverso messaggi e-mail infetti e download falsi, video canaglia o aggiornamenti flash falsi. Dopo infiltrazioneessersi infiltrato con successo questo programma maligno crittografa i file memorizzati sul computer dell'utente (*. Doc, *. Docx, *. Xls, *. Ppt, *. Psd, *. Pdf, * eps., *. Ai, *. Cdr, *. jpg, ecc) e invia delle richieste di pagamento di un riscatto di 500 dollari (in Bitcoins) per decriptare i file. I cyber criminali che sono responsabili per il rilascio di questo programma canaglia hanno fatto in modo che si esegua su tutte le versioni di Windows (Windows XP, Windows Vista, Windows 7 e Windows 8). CryptoWall ransomware crea i file DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html e DECRYPT_INSTRUCTION.url in ogni cartella che contiene i file decriptati.
Questi file contengono le istruzioni su come gli utenti possono decifrare i propri file, le istruzioni comprendono l'utilizzo del browser Tor (browser web anonimo). I criminali informatici stanno usando Tor per nascondere la loro identità. Gli utenti di PC dovrebbero sapere che mentre l'infezione in sé non è così complicata da rimuovere, la decrittazione dei file (crittografati utilizzando la crittografia RSA 2048) colpiti da questo programma maligno è impossibile senza pagare il riscatto. Al momento della ricerca non ci sono strumenti o soluzioni in grado di decrittare i file crittografati da CryptoWall. Si noti che la chiave privata che può essere utilizzata per decriptare i file viene memorizzata nei server-comando e controllo CryptoWall che sono gestiti da criminali informatici. La soluzione ideale sarebbe la rimozione di questo virus ransomware e quindi il ripristino dei dati da un backup.
Screenshot di un messaggio che viene presentato nei file DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html e DECRYPT_INSTRUCTION.url:
Infezioni ransomware comeCryptoWall (per esempio CryptoDefense, CryptorBit e Cryptolocker) dovrebbero essere un argomento molto forte per avere sempre copie di backup dei dati memorizzati. Si noti che pagare il riscatto a questo ransomware sarebbe pari a inviare il proprio denaro ai criminali informatici, si potrebbe sostenere il loro modello di business dannoso, inoltre non ci sono garanzie che i file verranno mai decifrati.
Nome | CryptoWall ransomware |
Tipo di Minaccia | Ransomware, Crypto Virus |
Sintomi | Non è possibile aprire i file memorizzati sul computer, in precedenza i file funzionali ora hanno un'estensione diversa, ad esempio my.docx.locked. Un messaggio di richiesta di riscatto viene visualizzato sul desktop. I criminali informatici chiedono di pagare un riscatto (di solito in bitcoin) per sbloccare i file. |
Metodi di distribuzione | Allegati e-mail infetti (macro), siti web torrent, annunci dannosi. |
Danni | Tutti i file sono crittografati e non possono essere aperti senza pagare un riscatto. È possibile installare ulteriori trojan di password e trojan e infezioni da malware insieme a un'infezione da ransomware. |
Rimozione | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Per evitare che il proprio computer sia infettato con tali infezioni ransomware gli utenti dovrebbero stare molto attenti quando aprono messaggi di posta elettronica, i criminali informatici utilizzano vari titoli accattivanti per ingannare gli utenti di PC ad aprire gli allegati e-mail infetti, ad esempio, "UPS Notifica di eccezione". Recenti ricerche dimostrano che i criminali informatici utilizzano anche reti P2P e download falsi che contengono le infezioni ransomware in bundle per diffondere CryptoWall.
Messaggio presentato nei file DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html and DECRYPT_INSTRUCTION.url:
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048 using CryptoWall. More information about the encryption keys using RSA-2048 can be found here: en.wikipedia.org/wiki/RSA_(crypto system)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. All your files were encrypted with the public key, which has been transferred to your computer via the Internet. Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed. If you really value your data, then we suggest you do not waste valuable time searching for the solutions because they do not exist.
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: hxxp://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: kpai7ycr7jxqkilp.onion/3koe
4. Follow the instructions on the site.
Screenshot di una email infetta presentata nella distribuzione di CryptoWall:
Testo presente nelle email infette:
From: UPS Quantum View [auto-notify (at) ups.com]
Subject: UPS Exception Notification, Tracking Number 1Z522A9A6892487822Discover more about UPS: Visit ups.com
At the request of the shipper, please be advised that delivery of the following shipment has been rescheduled.Important Delivery Information
Tracking Number: 1Z522A9A6892487822
Rescheduled Delivery Date: 14-April-2014
Exception Reason: THE CUSTOMER WAS NOT AVAILABLE ON THE 1ST ATTEMPT. A 2ND ATTEMPT WILL BE MADE PACKAGE WILL BE DELIVERED NEXT BUSINESS DAY.
Shipment Detail: 1Z522A9A6892487822
Screenshot della pagina di pagamento di CryptoWall:
Messaggio presente nella pagina di pagamento di CryptoWall:
Decrypt service
Your files are encrypted.
To get the key to decrypt files you have to pay 500 USD/EUR. If payments is not made before [date] the cost of decrypting files will increase 2 times and will be 1000 USD/EUR Prior to increasing the amount left: [count down timer]
We are present a special software - CryptoWall Decrypter - which is allow to decrypt and return control to all your encrypted files. How to buy CryptoWall decrypter?
1. You should register Bitcoin waller
2. Purchasing Bitcoins - Although it's not yet easy to buy bit coins, it's getting simpler every day.
3. Send 1.22 BTC to Bitcoin address: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Enter the Transaction ID and select amount.
5. Please check the payment information and click "PAY".
Si noti che, al momento della stesura di questo articolo non ci sono strumenti noti che potrebbero decifrare i file crittografati da CryptoWall senza pagare il riscatto. Seguendo questa guida di rimozione sarete in grado di rimuovere questo ransomware dal computer ma i file interessati rimarranno crittografati. Aggiorneremo questo articolo non appena ci saranno ulteriori informazioni per quanto riguarda la decrittografia dei file compromessi.
Rimozione di CryptoWall virus:
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu rapido:
- Cosa è CryptoWall?
- STEP 1. CryptoWall virus rimozione attraverso modalità provvisoria con rete.
- STEP 2. CryptoWall ransomware rimozione attraverso ripristino di sistema.
Step 1
Windows XP e Windows 7: Durante il processo di avviamento premere il tasto F8 sulla tastiera del computer più volte finché menu Opzioni avanzate di Windows si presenta, quindi selezionare la modalità provvisoria con rete dall'elenco e premere INVIO.
Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":
Windows 8: Vai a Windows 8 schermata di Start, digitare avanzato, nei risultati di ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra aperta "Impostazioni generali del PC" selezionare avvio avanzate. Fare clic sul pulsante "Riavvia ora". Il computer verrà riavviato in "menu Opzioni di avvio avanzate". Fare clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate clicca su "Impostazioni di avvio". Fare clic sul pulsante "Restart". Il PC si riavvia in schermata Impostazioni di avvio. Premere il tasto "5" per l'avvio in modalità provvisoria con prompt dei comandi.
Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":
Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":
Step 2
Accedere all'account che è stato infettato con il virus CryptoWall. Avviare il browser Internet e scaricare un programma anti-spyware legittimo. Aggiornare il software anti-spyware e avviare una scansione completa del sistema. Rimuovere tutte le voci che rileva.
Se non è possibile avviare il computer in modalità provvisoria con rete, prova a fare un ripristino di sistema.
Video che mostra come rimuovere il virus ransomware con "Modalità provvisoria con prompt dei comandi" e "Ripristino configurazione di sistema":
1. Avviare il computer in modalità provvisoria con prompt dei comandi - Durante il processo di avviamento del computer premere il tasto F8 sulla tastiera più volte finché menu Opzioni avanzate di Windows si presenta, quindi selezionare la modalità provvisoria con prompt dei comandi dall'elenco e premere INVIO.
2.Quando Modalità con prompt dei comandi si carica immettere la seguente riga: cd restore e premere INVIO.
3. Dopo digitare questa riga: rstrui.exe e premere invio.
4. Nella finestra che si apre clicca su "avanti".
5. Selezionare uno dei punti di ripristino disponibili e fare clic su "avanti" (questo sarà ripristinare il sistema del computer a uno stato precedente e la data, prima che il virus ransomware CryptoWall infiltrato vostro PC).
6. Nella finestra aperta clicca su "si".
7. Dopo aver ripristinato il computer a una data precedente effettua il download e la scansione del PC con un software di rimozione di malware consigliato di eliminare tutti i file CryptoWall sinistra.
Per ripristinare i singoli file crittografati questo gli utenti di PC ransomware potrebbe provare a utilizzare le versioni precedenti di Windows dispongono. Questo metodo è efficace solo se Ripristino configurazione di sistema la funzione è stata attivata su un sistema operativo infetto. Si noti che alcune varianti di CryptoWall sono noti per rimuovere copie shadow volume dei file quindi questo metodo potrebbe non funzionare su tutti i computer.
Per ripristinare un file fare clic destro sul file, andare in Proprietà e selezionare la scheda Versioni precedenti. Se il file selezionato aveva il punto di ripristino selezionarla e fare clic su un pulsante "Ripristina".
Se non è possibile avviare il computer in modalità provvisoria con rete (o con prompt dei comandi), si dovrebbe avviare il computer utilizzando un disco di ripristino. Alcune varianti di questo ransomware disabilita modalità sicura rendendo di rimozione più complicato. Per questo passaggio sarà necessario accedere a un altro computer.
Altri strumenti noti per rimuovere CryptoWall ransomware:
Fonte: https://www.pcrisk.com/removal-guides/7844-cryptowall-virus
▼ Mostra Discussione