Crypto-Wall: Ο νέος «ιός» που κλειδώνει τους σκληρούς δίσκους

Επισκόπηση προηγούμενης Θ.Ενότητας Επισκόπηση επόμενης Θ.Ενότητας Πήγαινε κάτω

Crypto-Wall: Ο νέος «ιός» που κλειδώνει τους σκληρούς δίσκους

Δημοσίευση  Admin Την / Το Πεμ 9 Οκτ - 10:23

Crypto-Wall: Ο νέος «ιός» που κλειδώνει τους σκληρούς δίσκους



Εμφανίζεται ως δήθεν νόμιμη ενημέρωση δημοφιλών εφαρμογών. Οι δράστες ζητούν από τους χρήστες καταβολή λύτρων μέσω λογισμικού ανώνυμης περιήγησης για να αποκτήσουν ξανά πρόσβαση στα προσωπικά τους αρχεία.



Το κακόβουλο λογισμικό «Crypto-Wall» έκανε την εμφάνισή του στην χώρα μας και μεταδίδεται μέσω e-mail, σύμφωνα με σχετική προειδοποιητική ανακοίνωση της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος. Το «Crypto-Wall» στοχεύει στην καταβολή χρηματικών ποσών ως «λύτρα», προκειμένου να ξεκλειδωθούν ή να αποκρυπτογραφηθούν ψηφιακά αρχεία και δεδομένα στους ηλεκτρονικούς υπολογιστές των χρηστών.

Το κακόβουλο λογισμικό, τύπου «Crypto-Malware», μπορεί να επηρεάσει όλες τις εκδόσεις λειτουργικού συστήματος και εξαπλώνεται, κυρίως, μέσω μολυσμένων μηνυμάτων ηλεκτρονικού ταχυδρομείου Το συγκεκριμένο λογισμικό που αποτελεί εξέλιξη του γνωστού κακόβουλου λογισμικού «Cryptolocker», συγκαταλέγεται στις ψηφιακές απειλές τύπου Crypto-Malware, ενώ μπορεί να επηρεάσει όλες τις εκδόσεις λειτουργικού συστήματος.

Ειδικότερα, το κακόβουλο λογισμικό, εξαπλώνεται – μεταδίδεται όταν επισκεπτόμαστε επισφαλείς ή μολυσμένες ιστοσελίδες, εμφανιζόμενο ως δήθεν νόμιμη ενημέρωση δημοφιλών εφαρμογών. Ωστόσο, στις περισσότερες περιπτώσεις, το «CryptoWall» εξαπλώνεται μέσω μολυσμένων μηνυμάτων ηλεκτρονικού ταχυδρομείου.

Mετά την εγκατάστασή του στο λειτουργικό σύστημα, το κακόβουλο αυτό λογισμικό, χρησιμοποιώντας ένα εξελιγμένο σύστημα κρυπτογράφησης, κρυπτογραφεί - κλειδώνει όλα τα ψηφιακά αρχεία και τα δεδομένα (διαφόρων τύπων αρχείων, ενδεικτικά: *.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) που είναι αποθηκευμένα στον Η/Υ του χρήστη που έχει μολυνθεί από τον ιό, ενώ για να ξεκλειδωθούν τα αρχεία του, πρέπει να καταβληθεί χρηματικό ποσό (ransom), σε διαφορετική περίπτωση καθίστανται απροσπέλαστα για το χρήστη τους.

Η καταβολή του χρηματικού ποσού γίνεται, μέσω ανώνυμου προγράμματος περιήγησης, με τη χρήση του ψηφιακού νομίσματος bitcoin (BTC), κατόπιν μηνύματος που εμφανίζεται στον χρήστη, με υποδείξεις και οδηγίες για την πληρωμή.

Καλούνται οι χρήστες του διαδικτύου να μην πληρώνουν τα χρήματα που ζητούνται, προκειμένου να αποθαρρύνονται τέτοιες παράνομες πρακτικές καθώς και για να μην εξαπλωθεί το φαινόμενο, ενώ θα πρέπει να είναι ιδιαίτερα προσεκτικοί και να λαμβάνουν μέτρα ψηφιακής προστασίας και ασφάλειας για την αποφυγή προσβολής από το κακόβουλο λογισμικό.

Συγκεκριμένα:

* οι πολίτες που λαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς ή άγνωστη προέλευση, καλούνται να μην ανοίγουν τους συνδέσμους (links) και να μην κατεβάζουν τα συνημμένα αρχεία, που περιέχονται σε αυτά, για τα οποία δεν γνωρίζουν με βεβαιότητα τον αποστολέα και το περιεχόμενο του συνημμένου αρχείου. Επιπλέον, οι χρήστες πρέπει να είναι εξαιρετικά καχύποπτοι στα μηνύματα ηλεκτρονικού ταχυδρομείου που ως αποστολέας φαίνεται να είναι κάποια υπηρεσία ή εταιρεία.

* συστήνεται να πληκτρολογούνται οι διευθύνσεις των ιστοσελίδων (URL) στον περιηγητή (browser), αντί να χρησιμοποιούνται υπερσυνδέσμοι (links),

*να χρησιμοποιούνται γνήσια λογισμικά προγράμματα και να ενημερώνονται τακτικά (updates), ενώ θα πρέπει να υπάρχει πάντα ενημερωμένο πρόγραμμα προστασίας (αντιικό) του Η/Υ.

*να ελέγχουν και να έχουν πάντοτε ενημερωμένη την έκδοση του λειτουργικού τους συστήματος,

*να δημιουργούν αντίγραφα ασφαλείας των αρχείων της συσκευής τους (backup) σε τακτά χρονικά διαστήματα, σε εξωτερικό μέσο αποθήκευσης, έτσι ώστε σε περίπτωση «προσβολής» από το κακόβουλο λογισμικό, να είναι δυνατή η αποκατάσταση των αρχείων τους.

Υπενθυμίζεται ότι για ανάλογα περιστατικά ή για παροχή διευκρινίσεων – συμβουλών, οι πολίτες μπορούν να επικοινωνούν με την Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος στο 210-6476464 ή στο ccu@cybercrimeunit.gov.gr.

Admin
Admin

Αριθμός μηνυμάτων : 823
Ημερομηνία εγγραφής : 08/11/2009

Επισκόπηση του προφίλ των χρηστών http://cooking.bestforumlive.com

Επιστροφή στην κορυφή Πήγαινε κάτω

How to remove CryptoWall

Δημοσίευση  Admin Την / Το Πεμ 9 Οκτ - 10:37

How to remove CryptoWall

CryptoWall is a computer virus known to many as ransomware. This malware has been around for quite a while and was aimed to infect almost every version of Windows starting from Windows XP operating system. Ransomware such as CryptoWall scans the PC for targeted files and encrypts them so that it remains unusable. Then, the malware will promote a program called CryptoWall Decrypter that can be use to return your control to all encrypted files.

When CryptoWall is executed, it places files on system and alters the registry so that malicious code runs on every Windows boot-up. Next, the virus will modify files on the computer like images, documents, videos, and audios. CryptoWall is actually replacing the first 512 bytes with its code, thus it may look encrypted or corrupted. Associated programs may not execute neither run the file and errors will appear on the screen. As mentioned, every folder of the encrypted files contains HowDecrypt.txt file and HowDecrypt.gif, which are instructions on how victims can acquire public key. Here is an excerpt of the CryptoWall message:

“Your files are encrypted.
To get the key to decrypt files you have to pay 500USD/EUR. If payment is not made before (date and time) the cost of decrypting files will increase 2 times and will be 1000USD/EUR.”

It is clear that CryptoWall is one malware that wants to steal money from computer users. If this kind of malware begins to bug your PC, we highly suggest scanning the computer with tools provided on this page.

We recommend Malwarebytes Antimalware Software to try to quickly remove cryptowall, as well as prevent infections like this from happening in the future, if that doesn’t finish the job, follow the steps below.

Screenshot Image:



Ways to recover files encrypted by CryptoWall.

Below, we have procedures in removing CryptoWall from the computer. Since public and private key combination is needed to decrypt files, it is impossible to recover affected files at this point. We hope to find a workaround with this trouble in the following days. For the meantime, we will maximize whatever we have on hand.

If your PC is running on Windows Vista and Windows 7, there is a feature called ‘Previous Versions’. Although this function only works if restore point was saved prior to CryptoWall infection or if System Protection is enabled on the computer. Use Previous Versions to recover files without having to pay for the private key.

How to Remove 'CryptoWall'

Option 1 : Please use this recommended tool to remove the virus.

First thing you should do is reboot the computer in Safe Mode with Networking to avoid How to remove CryptoWall from loading at start-up.

NOTE: You will need to PRINT or BOOKMARK this procedure, as we have to restart the computer during the removal process.

To start Windows in Safe Mode with Networking, please do the following:

1. Remove all media such as floppy drive, cd, dvd, and USB devices. Then, restart the computer.

Boot in Safe Mode with Networking on Windows XP, Windows Vista, and Windows 7 system
a) Before Windows begins to load, press F8 on your keyboard.
b) It will display the Advanced Boot Options menu. Select Safe Mode with Networking.

Start computer in Safe Mode with Networking using Windows 8

a) Before Windows begins to load, press Shift and F8 on your keyboard.
b) On Recovery interface, click on 'See advanced repair options'.
c) Next, click on Troubleshoot option.
d) Then, select Advanced options from the list.
e) Lastly, please choose Windows Startup Settings and click on Restart. When Windows restarts, you will be send to a familiar Advanced Boot Options screen.
f) Select Safe Mode with Networking from the selections menu.



2. Once the computer boots into Safe Mode with Networking, download the Removal Tool and save it on your Desktop or any location on your PC.

http://www.precisesecurity.com/tools-resources/adware-tools/malwarebytes-anti-malware

3. When finished downloading, locate and double-click on the file to install the application. Windows' User Account Control will prompt at this point, please click Yes to continue installing the program.
4. Follow the prompts and install with default configuration.
5. Before the installation completes, check prompts that software will run and update on itself.
6. Click Finish. Program will run automatically and you will be prompted to update the program before doing a scan. Please download needed update.
7. When finished updating, the tool will run. Select Perform full scan on main screen to check your computer thoroughly.
8. Scanning may take a while. When done, click on Show Results.
9. Make sure that all detected threats are checked, click on Remove Selected. This will delete all files and registry entries that belongs to CryptoWall.
10. Finally, restart your computer.

Note: If CryptoWall prevents mbam-setup.exe from downloading. Download the software from another computer. Renaming it to something like 'anything.exe' can help elude the malware. You may skip Option 2 and proceed to Additional Scans below if you see that the steps above have totally removed the malware.

Option 2 : Remove CryptoWall instantly with this Rescue Disk

This procedure requires a tool from Kasperky. Thus, it requires Internet access to download the files. If the virus blocks your Internet access, you have no other choice but to execute this guide from another computer.

Download Kaspersky Rescue Disk
1. Download the ISO image of Kaspersky Rescue Disk 10 (kav_rescue_10.iso) from official web page.
2. Download the Kaspersky Rescue Disk Maker (rescue2usb.exe) as provided by Kasperky.

Create A Bootable USB Drive
3. Insert a clean USB flash drive to available slot. To record the ISO file and create a bootable USB drive, double-click on rescue2usb.exe. It will extract the files and create a folder called Kaspersky Rescue2Usb.
4. Kaspersky USB Rescue Disk Maker should run after the extraction. If not browse the Kaspersky Rescue2Usb folder and run the rescue2usb file.
5. From Kaspersky USB Rescue Disk Maker console, click on Browse and locate the file kav_rescue_10.iso.



6. On USB Medium, select the USB drive you wanted to make as bootable Kaspersky USB Rescue Disk. This will become a bootable virus scanner.
7. Click in Start to begin the process.
8. When the process is complete, it will display a notification message. Your tool to remove CryptoWall is now ready.



Boot The Computer From The USB Kaspersky Rescue Disk 10
9. Since CryptoWall uses a rootkit Trojan that controls Windows boot functions, we need to reboot the computer and select the newly created Kaspersky USB Rescue Disk as first boot option. On most computers, it will allow you to enter the boot menu and select which device or drives you wanted to start the PC. Refer to your computer manual.
10. If you successfully enters the boot menu, choose the USB flash drive. This will boot the system on Kaspersky Rescue Disk. Press any key to enter the menu.

11. If it prompts for desired language, use arrow keys to select and then press Enter on your keyboard.
12. It will display End User License Agreement. You need to accept this term to be able to use Kaspersky Rescue Disk 10. Press 1 to accept.
13. The tool will prompt for various start-up methods. We highly encourage you to choose Kaspersky Rescue Disk Graphic Mode.
Remove CryptoWall Using Windows Unlocker
14. Once the tool is running, you need to run WindowsUnlocker in order to delete registry that belongs to CryptoWall. On start menu located at bottom left corner of your screen, select the K icon or select WindowsUnlocker if it is present on the Menu.
15. Select Terminal from the list. A command prompt will open.



16. Type windowsunlocker and press Enter on your keyboard.



17. From the selection, choose 1 - Unlock Windows to remove CryptoWall. Use up/down arrow on keyboard to select and press Enter.



18. This utility will start removing any components that blocking you from accessing the computer. It will display a log file containing actions performed on the infected computer like deleted infected file and removed registry entries.
19. After removing components of CryptoWall. You need to scan the system using the same tool. On start menu, select Kaspersky Rescue Disk.



20. Be sure to update the program by going to My Update Center tab. Click on Start update.
21. After the update, go to Object Scan tab and thoroughly scan the computer to locate other files that belong to CryptoWall.
22. Restart the computer normally when done.

Additional anti-virus and anti-rootkit scans (Optional)

Ensure that no more files of CryptoWall are left inside the computer
1. Click on the button below to download Norton Power Eraser from official web site. Save it to your desktop or any location of your choice.

https://security.symantec.com/nbrt/npe.aspx?

4. Once the file is downloaded, navigate its location and double-click on the icon (NPE.exe) to launch the program.
5. Norton Power Eraser will run. If it prompts for End User License Agreement, please click on Accept.
6. On NPE main window, click on Advanced. We will attempt to remove CryptoWall components without restarting the computer.



9. On next window, select System Scan and click on Scan now to perform standard scan on your computer.



10. NPE will proceed with the scan. It will search for Trojans, viruses, and malware like CryptoWall. This may take some time, depending on the number of files currently stored on the computer.

11. When scan is complete. All detected risks are listed. Remove them and restart Windows if necessary.

Admin
Admin

Αριθμός μηνυμάτων : 823
Ημερομηνία εγγραφής : 08/11/2009

Επισκόπηση του προφίλ των χρηστών http://cooking.bestforumlive.com

Επιστροφή στην κορυφή Πήγαινε κάτω

Επισκόπηση προηγούμενης Θ.Ενότητας Επισκόπηση επόμενης Θ.Ενότητας Επιστροφή στην κορυφή

- Παρόμοια θέματα

 
Δικαιώματα σας στην κατηγορία αυτή
Δεν μπορείτε να απαντήσετε στα Θέματα αυτής της Δ.Συζήτησης