Интернет безопасность по-русски
  • twitter
  • flickr
  • facebook
  • vimeo
  • Главная
  • Новости
  • Удаление вирусов
  • Спам

Вирус-шифровальщик CryptoWall 4.0: как расшифровать данные

CryptoWall, центровая фигура среди троянцев-вымогателей, авторы которой уже давно на карандаше у спецслужб, в ноябре прошлого года претерпел ряд изменений. По-новому выглядят и ощущаются не только некоторые внешние признаки этой напасти, но и функционал инфекции доработан в значительной степени. Кроме основного содержания личных файлов пользователя, CryptoWall 4.0 также шифрует их имена. Становится непросто даже понять, какие именно данные на жестком диске были зашифрованы. Требование выкупа оформлено более профессионально и теперь содержится в файле “Help_Your_Files”. Документ, как и ранее, доступен в форматах HTML, TXT и PNG. Сума выкупа составляет 700 USD, все так же подлежит оплате в валюте биткойн, и в пересчете на крипто-деньги равна 1,8 BTC.

Help_Your_Files.html - CryptoWall 4.0

Новый вариант инструкций вымогателя в документе Help_Your_Files.html

Формула распространения, используемая мошенниками, основывается на старой доброй схеме, в которой пользователей склоняют открыть зловредное вложение, которое кажется, на первый взгляд, вполне безобидным. Во многих известных случаях файл замаскирован как объект ZIP, который якобы содержит резюме, но на самом деле является файлом JavaScript, задача которого – запуск вредительского процесса в системе. Психологические уловки и профессиональное программирование составляют рецепт успеха и лежат в основе высокоэффективного внедрения вируса на вычислительные машины.

Дальнейшее развитие сценария подразумевает отключение функции системного восстановления System Restore и службы снимков томов Volume Snapshot Service, что практически исключает возможность отмены нежелательных изменений и, в большинстве случаев, восстановления предыдущих версий файлов пользователя. Также будет дезактивирована функция редактирования перечня самовыполняемых программ. Таким образом, нет возможности исключить из этого перечня вредоносный выполняемый код. Влияние вируса становится необратимым. Как и в предыдущих версиях, троян генерирует уникальный идентификационный код под каждое инфицирование, основываясь на рандом-коде MD5 технических характеристик ЭВМ. Уникальный шифр передается на удаленный сервер C2. Затем вирус проходится по всех дисковых томах в поиске личных файлов пользователя. Все объекты с популярными расширениями будут зашифрованы по стандарту RSA-2048. Опять же, аналогичная замысловатая процедура применяется к именам файлов. По завершению данной фазы атаки, программа-вымогатель излагает свои требования в документе Help_Your_Files, который содержит ссылки для браузера Tor на персональную страницу дешифровки данных, а также методы оплаты.

Изъянов шифрования данных вирусом CryptoWall 4.0 на инфицированных компьютерах не обнаружено. Восстановление файлов посредством взлома шифра не представляется возможным. Пара ключей, необходимая для расшифровки, включает открытый и закрытый ключ. Если первый хранится на ПК, то последний на командном сервере под контролем мошенников. С учетом этой особенности, пользователям приходится полагаться исключительно на методы восстановления без расшифровки данных, или же внести выкуп, что является весьма неприглядным исходом. В любом случае, ознакомьтесь с рекомендациями ниже, чтобы подобрать оптимальное решение под сложившиеся обстоятельства.

Удалить вымогательское ПО CryptoWall 4.0 с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

  1. Загрузить программу для удаления вируса CryptoWall 4.0 . После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).Загрузить программу для удаления вируса CryptoWall 4.0
  2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель CryptoWall 4.0 блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.Data Recovery Pro

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

  • Использовать опцию “Предыдущие версии”В диалоговом окне “Свойства” любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щечек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла.previous-versions
  • Использовать “теневой проводник” ShadowExplorerВышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).Shadow Explorer

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя CryptoWall 4.0

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Загрузить программу для удаления вируса CryptoWall 4.0

Похожее

Leave a Reply Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Искать на сайте

Мы в Твиттере

Follow @it_bezopasnost

Свежие записи

  • Как удалить вирус Temposearch в Chrome, Firefox, IE, Safari
  • Как удалить Win Tonic вирус в Windows
  • Удаление decrypthelp@qq.com и восстановление зашифрованных файлов .java
  • Шифровальщик hola@all-ransomware.info (расширение .fairytail и другие)
  • Удаление браузерного вируса Newtab.today

Мы Вконтакте

Мы в Фейсбуке

Интернет Безопасность

Мы в Однокласниках

back up
© Copyright 2023 Интернет безопасность по-русски
 

Загружаются Комментарии...