CryptoLocker, cum dezinfectam cum prevenim si cum recuperam fisierele infectate cu ramsomware

Salut prieteni, in tutorialul de astazi vom vorbi despre infectia de tip ransomware numita CryptoLocker. Mai exact o sa vedem cum dezinfectam un calculator infectat cu CryptoLocker, cum prevenim infectarea cu acest ransomware si cum putem recupera fisierele infectate cu CryptoLocker.
Ce face CryptoLocker ?
Asa cum va spuneam si mai sus acest tip de infectie face parte din clasa ransomware si odata infectat cu CryptoLocker acesta cauta si cripteaza fisierele din calculatorul vostru. Fisierele pe care le cripteaza acesta sunt: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c
Odata ce fisierele au fost criptate, nu veti mai putea deschide, utiliza sau vizualiza respectivele fisiere. Desi la un moment dat CryptoLocker va va oferi “sansa” (falsa) de va recupera fisierele prin plata sumei de 300 dolari sau 300 euro in schimbul carora veti primi o cheie pentru decriptarea fisierelor voastre, nu va sfatuiesc sa faceti acest lucru! Nu va garanteaza nimeni ca veti primi intr-adevar cheia de decriptare si veti ramane si fara toti banii de pe card-ul sau contul dumneavoastra bancar.
Ce fac daca m-am infectez cu CryptoLocker ?
Va recomandam sa deconectati de la calculator toate perfifericele (imprimanta, fax, stick USB, card SD, hard disk extern si alte medii de stocare), scoatei cablul de internet din placa de retea al calculatorului infectat pentru a nu raspandi infectia in retea si catre alte calculatoare conectate la aceasta. Deasemenea nu mai conectati medii de stocare amovibile (stick-uri USB, carduri de memorie sau hard disk-uri externe) la calculatorul infectat.
Cum dezinfectez un calculator infectat cu CryptoLocker ?
Metoda prin care va puteti debarasa de aceasta infectie este destul de simpla aceasta fiind prezentata detaliat in tutorialul video. Primul pas este sa intrati on Safe Mode asa cum s-a aratat in tutorialul video. Indiferent de versiunea de Windows folosita, puteti face acest lucru apasand tastele Windows + R si in casuta Run scrieti “msconfig” apoi apasati tasta Enter. In fereastra care va apare mergeti pe tabul Boot si bifati casuta Safe boot apoi click pe Apply si OK si restartati calculatorul urmand ca acesta sa intre singur in Safe Mode cand va reveni din restart.
O alta metoda prin care puteti intra in Safe Mode este sa restartati calculatorul si imediat dupa ce vedeti logo-ul producatorului placii de baza, apasati repetitiv tasta F8.
Ajunsi in Safe Mode va trebui sa accesam Registry Editor pentru a sterge intrarile pe care si le face CryptoLocker in sistemul de operare. Apasam tastele Windows + R si in casuta Run scriem “regedit” si apasam tasta Enter.
De obicei CryptoLocker va avea cateva key in urmatoarele locatii:
HKEY_CURENT_USER\Software\CryptoLocker
HKEY_CURENT_USER\Software\CryptoLocker_0388
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Dupa ce am curatat registry de intrarile CryptoLocker va trebui sa facem vizibile extensiile pentru fisiere, folderele si fisierele ascunse precum si folderele protejate de sistem. Cum se face acest lucru s-a aratat in tutorialul video.
Vom accesa folderele “C:\Users\NumeleVostruDeUtilizator\AppData\Local” precum si “C:\Users\NumeleVostruDeUtilizator\AppData\Roaming” si vom sterge orice fisier cu denumire dubioasa avand extensia .exe. De obicei executabilele folosite de CryptoLocker si alte tipuri de infectii nu au un inteles in denumirea lor, de exemplu acestea poat fi denumite “aldkkgjhoipporh.exe”
Dupa ce am terminat de facut acesti pasi va trebui sa repornim calculatorul. Cand revenim din restart descarcam si instalam Malwarebytes, il rulam si facem o scanare. Dupa finalizarea scanarii inlaturam din interfata acestuia infectiile gasite.
Cum prevenim infectarea calculatorului cu CryptoLocker ?
Pentru a preveni infectarea cu CryptoLocker este bine sa aveti un antivirus, un antimalware sau o suita de securitate cu update-urile ce contin baza de date cu semnaturile pentru virusi, la zi. Multi utilizatori stau nepasatori si linistiti doar pentru ca vad iconita unui antivirus in System tray (dreapta jos a ecranului langa ceas) fara sa se asigure ca acesta este functional sau daca si cand si-a facut ultima data update-urile ce contin semnaturile pentru virusi.
O masura in plus pentru prevenirea infectiei cu CryptoLocker este si CryptoPrevent, un mic utilitar care poate fi instalat sau poate fi folosit ca aplicatie portabila. CryptoPrevent face unele modificari in Group Policy pentru a bloca drepturile de executie a executabilelor alflate in %appdata% si %localappdata% precum si protejarea impotriva exploit-ului RLO (Right to Left Override)
Aceasta unealta trebuie folosita cu precautie caci poate bloca si un fisier legitim care se poate afla in %appdata% sau %locaappdata%. Daca se intampla ca un fisier legitim sa fie blocat, puteti deschide interfata aplicatiei CryptoPrevent si sa adaugati fisierul respectiv in White List (lista alba) o lista ce va contine fisierele adaugate de voi si care vor avea dreptul de a fi executate.
Cum recuperez fisierele criptate de CryptoLocker ?
Din pacate recuperarea fisierelor criptate de CryptoLocker nu este garantata de nici o metoda sau soft minune. Totul tine de setarile pe care le-ai avut si le ai in sistemulde operare. Daca pana sa te infectezi ai avut tot timpul System Restore si Previous Versions oprite, nu mai poti recupera fisierele criptate. System Restore si Previous Versions lasate activate va vor permite sa reveniti la o stare anterioara pe care o avea fisierul inainte ca acesta sa fi fost infectat si criptat. Puteti totusi sa utilizati Shadow Explorer pentru a afla daca in sistemul de operare exista versiuni anterioare pentru fisierele criptate. Daca veti gasi unul sau mai multe fisiere intr-o stare anterioara infectiei si doriti sa le restabiliti, faceti click dreapta pe acestea din interfata aplicatiei ShadowExplorer si alegeti din meniul contextual optiunea Export.
Pe final concluzia este una singura. UN BACKUP pe care foarte multi utilizatori evita sa il faca, v-ar fi scutitit de toate aceste batai de cap. Faceti backup macar pentru fisierele vitale pentru voi, pastrati copii ale acestora chiar si in 10 locatii diferite daca este nevoie caci nu se stie niciodata cum le poti pierde, fie printr-o infectie urata de genul CryptoLocker, fie printr-un dezastru natural (calamitate), furt sau pur si simplu iti cedeaza hard disk-ul intr-o zi. Exista SUTE de solutii gratuite pentru backup, avem o gramada de tutoriale legate de acest subiect indiferent ca doriti sa salvati backup-urile local sau in servicii cloud.


 


Tutoriale similare


Despre Adrian

Flamand de informatie si cunoastere, imi place tot ce tine de domeniul tehnic si impartasesc din cunostintele mele cu mare placere. Cei ce se daruiesc altora se vor pierde pe ei insisi dar cu folos, lasand ceva util semenilor. Bucurandu-ma de acest privilegiu, nu voi spune niciodata "nu stiu", ci "nu stiu inca" !

Comments

  1. In tutorial zici ca tot ce se afla in partitia c cu extensia mentionata sunt infectate(criptate) cu criptolocker ,pai daca am toate fisierele,folderele personale(poze etc.) in alta partitie mai poate sa le infecteze si pe acestea.? Atunci ar mult mai usor de rezolvat problema .

    • Adrian Gudus a zis

      Iti propun sa te uiti la tutorial cu mai multa atentie si fara sa mai derulezi!
      Nu am spus sa stergi tot ce se afla in partitia C sau ca tot ce se afla in partitia C cu extensia .exe trebuie sters. Trebuie sa stergi doar ce se afla in locatiile mentionate in tutorial, in cele doua foldere ascunse (asa cum s-a mentionat si in textul de deasupra tutorialului pe care iti recomand sa il citesti)
      Fisierele infectate si criptate nu au extensia .exe!
      Procesul de dezinfectare consta in eliminarea registrilor si a unor executabile (folosite de CryptoLocker) cu denumire aleatorie aflate in cele doua locatii mentionate in tutorial
      Daca voi derulati tutorialul si nu cititi textul de deasupra acestuia in intregime din comoditate sau what ever, nu mai este problema mea! Ddaca nu vrei sa intelegi, sa vizionezi si sa ai rabdare sa digeri toata informatie, inseamna ca nu-ti trebuie, nu vrei si drept urmare n-am de ce sa explic pe comentarii aceleasi lucruri explicate deja intr-un tutorial de peste 30 de minute si cateva randuri bune de text scrise deasupra acestuia.
      Din vina si ignoranta voastra tot eu cad ala arogant-ul.

  2. Nene eu nu te-am intrebat daca trebuie sters tot din partita c eu cred ca am vorbit destul de clar ,am scris cumva in lb.chineza? Am intrebat daca am un document , o poza sau orice altceva cu extensiile mai sus mentionate, in alta partitie alta decat C risca sa fie infectate(criptate) cu crytolocker DA or BA daca nu atunci nu faci altceva decat dezinfectare eventual un restore sau ce vrei tu sa-i faci .In tutorial ai zis ca tot ce se afla in partita C cu extensia mentionata sunt criptate sau nu mai sti ce-ai zis.,! Si inca ceva , sa sti ca n-am derulat nici-o secunda……nene!

    • In mod normal, daca cel care scrie malware-ul vrea sa-ti acceseze si alte locatii de stocare, si nivelul de securitate din sistemul de operare este low, poate accesa toate partitiile.
      Cel mai bine este sa sufli si-n iaurt…
      Tutorialul lui Adrian este destul de clar si daca aplici logica poti trage si alte concluzii.
      Comportamenul malware-ului este greu de intuit, acesta se poate schimba de la o zi la alta, de la un sistem la altul. Acum depinde cine l-a scris si ce intentii ascunse are.
      Repet.
      Cand vorbim de virusi, spyware, ramsomware, etc, comportamenul acestora nu poate fi incadrat foarte clar. Azi iti afecteaza doar o partitie, maine toate partitiile.

      • Cristi eu te vad un om destul de inteligent, lui colegul tau ia fost greu sa dea un raspuns cel putn asemanator ca tine.??el tot timpul zice sa nu mai derulam in loc sa dea un raspuns la intrebare.
        Cat despre baietasul cu mucii in freza de mai jos ii transmit doar atat ca nu stau de vorba cu sugarii.

    • Mai muce, nu ajunge ca esti cam incet la cap esti si impertinent. Vorba aia: ”prostul nu-i destul de prost daca nu e si fudul”!

  3. un soft pentru decriptarea fișierelor infectate nu există?și dacă da ar dura mult pe un pc normal decriptarea?

  4. Interesant tutorialul si util.

    Daca se poate sa faceti un tutorial, despre android si anume cum as putea sa reinstalez android 4.04(acesta vine by default) pe un samsung galaxy tab 2 P3100, dupa un update la 4.1.3. (restaurarea cu optiunea default la setarile by factory, nu fac altceva decat sa pastreze 4.1.3 si sa stearga doar softurile, in cazul meu). Multumesc!

  5. rezolvarea cea mai simpla fara batai de cap este sa instalezi prima data sisrestore dupa un proaspat instal de windows si de fiecare data cand aveti probleme folositi sisrestore care buteaza primul la pornirea windowsului si ati scapat foarte simplu . al descarcacati de aici »»»http://www.sysnew.com/download.html .bafta

  6. Adrian sailor a zis

    Comentariul meu s-a pierdut in neant….

    • Nu s-a pierdut in neant, l-am sters eu si probabil s-a dus in neant. De fapt este tot pe disk in data center, doar intrarea a foat stearsa, daca………….
      Sa revenim….
      Va rog sa nu mai lasati link-uri care fac trimitere spre anumite site-uri care nu pot fi verificate prea usor. Aceste site-uri pot contine malware pe alte pagini.
      Puneti-va in locul nostru, nu ne putem petrece cate 10-20 de minute pentru verificarea unui site, doar asa ca cineva a poatat un link.
      Daca vorbim despre site-uri cunoscute, serioase, pe care nici acum si nici in viitor nu vor fi problem, e ok insa pentru site-uri obscure….
      Vrem sa pastram acest loc (videotutorial.ro) curat, curat inseamna ca aici nu este malware si niciun link de aici nu trimite spre un site unde poate fi malware.
      De aceea videotutorial.ro nu face si nu va face link exchange cu niciun website, chiar daca asta ne-ar fi adus beneficii.
      Increderea este greu de castigat si foarte usor de pierdut!

  7. Salut Cristi cum as pute copia un windows 7 professional original de la microsoft de pe acest link http://msdn.microsoft.com/subscriptions/downloads/hh442898#searchTerm=Windows%207%20Professional&ProductFamilyId=0&Languages=en&PageSize=10&PageIndex=0&FileId=0,
    am incercat de citeva ori si nu se primeste nu stiu ce subscrib le trebuie ca m-am saturat de ei?! Daca e posibil un tutorial pe asa tema …

  8. la mine acuma 5 min , a aparut un pop-up cica ” da la politie ” .com pt. descarcara ilegala si trebuie sa platesc 300ron prin paysafecard .Interesant , bine ca eram in mediu virtual 🙂

  9. Salut Cristi……De cateva luni am luat ceva in calc si la majoritatea pozelor pe care le am,(nu sunt in partitie C) imi apare in loc de fotografie Dirty Decrypt…….Exista vreo rezolvare pentru aceasta problema?……..Multumesc mult!

  10. narcis2017 a zis

    Am si eu o problema cu calculatorul meu daca ma puteti ajuta.calc meu este un intel core i3-21003.10 ghz cpu integrat box lga1155 placa de baza asrock h61m-s skt1155 placa video pl asus ati radeon hd5450 1024mb ddr3 64bit. problema este atunci cand aprind calculatorul nu porneste ci se tot restarteaza iar culerul de pe procesor porneste si se opreste porneste si se opreste si tot asa. iar daca am tot scos cablurile de la hard si cd rw sau am scos placuta de rami si am introduso iar in cele din urma porneste dar daca dau un restart porneste calc dar nu mai merge placa video doar cu placa video incorporata in calu iar daca las mai multe ore cand il pornesc din nou mai greu porneste cu placa video externa dar daca dau din nou un restart nu mai merge doar cu placa video incorporata. Am schimbat sursa si acum porneste calculatorul bine doar ca cu placa video e la fel ca inainte merge doar cand il aprind dar dupa restart sau daca il sting si il aprind din nou nu mai merge placa video doar ce incorporata in placa de baza. sper sa ma puteti ajuta cu o idee am facut si update la bios dar nimik . va multumesc

  11. 3.10 ghz scuze mai sus am gresit mnam despartit

  12. Problema este simpla .
    Odata virusat , daca Nu ai Backup efectuat iti iei Adio de la fisiere.
    Dezinfectia este una , recuperarea si decriptarea datelor este alta.
    Este foarte probabil ca nici macar sa Nu le crypteze ci doar sa le altereze lucru la fel de Grav.
    Patita faza la doua societati comerciale carora le-a criptat bazele de date.
    Acum au de lucru pentru 6 luni cat nu au avut fetele in viata lor. Astfel incat . Backup , Backup , Backup , eventual backup cu versionare / snapshot si rotire aleatoare .
    Nu se recomanda backup pe harduri externe conectabile direct la sistem sau mapari de harduri in retea.
    Sunt alterate toate fisierele cu extensiile date de Adrian dint orice locatie a sistemului de operare .

    Backupul este bine sa se faca cu un soft de backup ce se poate lega la un cont de ftp chiar si local cu user si parola. Astfel se evita conexiunea la drive-uri mapate care sunt la fel de vulnerabile.

  13. Am uitat sa spun , in cazul in care nu sa mai zis. Nu se pot deschide nici de sub linux sau UNIX.

  14. Salut, am facut ce ai zis tu dar mie in software nu imi apare niciun cryptolocker .. desi nu pot deschide niciun fisier cu extensie ex: poze, muzica,etc

  15. am facut tot ce mi-ai zis dar nu gasesc fisierele cripton in software
    cred ca a perfectionalizat virusul si nu mai merge metoda ta daca vrei iti pot da un teamwiever sa vezi ce se poate face. Fisierele sunt criptate cu ezz, ceva mai nou

  16. Salutare!!!acest virus cryptolocker este similar cu help_decrypt???pt ca eu de virusul asta am dat si nu stiu cum sa decriptez fisierele criptate!!!!! ma puteti ajuta cu un sfat????s-au pierdut documente importante!!!!multumesc anticipat!!!!o seara placuta!!!

    • help_decrypt este un fisier al CryptoWall, virus similar cu Cryptolocker. Poti incerca sa elimini virusul cu ajutorul lui SpyHunter. Unealta o descarci de aici: http://www.enigmasoftware.com/
      Pentru a-ti recupera fisierele poti incerca un soft de recuperare ca Recuva. Vezi ca ai mai multe tutoriale pe tema recuperarii, aici, pe site. Poti incerca sa recuperezi fisierele deoarece CryptoWall sterge fisierul original inlocuindu-l apoi cu o copie criptata.

  17. Salut! am luat un virus, in care im aparea pe desktop o caseta de mesaj cu un timer cu ceva minute secunde care se scurgeau si imi spunea ca daca nu platesc o suma intr-un anumit cont imi va bloca si sterge toate fisierele. Am reusit sa scap imediat de acel virus in schimb nu mai pot deschide nicio poza de pe pc. Are acelasi nume, dimensiune, format dar cand dau open imi da o eroare ceva de genu ca formatul nu este suportat si nu mi le mai deschide. Si e nasol ca mi s-a dus toata arhiva personala de poze. am fostmatat pc-ul dar degeaba. Mersi.

  18. salut, imi place ce faceti voi aici, dar mie nu imi vede nimic in ShadowExplorer, de ce oare?

  19. Nici mie nu-mi apare nimic in ShadowExplorer…un alt program similar cu ShadowExplorer se poate sa-mi spune-ti ?

  20. am fost infectat cu un ransom . pune inainte de nume fisier : oorr .
    Are cineva idee ? despre tb asta ?

  21. Salut Adrian am și eu o buba acum un timp am fost infectat cu un virus help decrypt ,,eu pentru poze și videoclipurile personale aveam un hard separat pe care îl conectam la calculator doar când adăugăm ceva pe el .hardul a fost corupt și el și toate pozele și filmările criptate ….fratele meu a scos hardul de pe computer și a formatat windows – ul dar pe hardul ăla am încă criptate pozele
    Întrebare ..se mai pot recupera pozele de pe el ne având un sistem restore sau alt ceva

  22. salutare…cu inima stransa va zic ca si eu..nu stiu cum naiba am fost virusat cu ”Help your fille”…si fiul mia reinstalat windowsul [xp]..dar pozele si muzica nu le mai pot deschide….intrebare:mai pot recupera pozele? si cum mai exact?….raspuns va rog…

  23. Salut, de curand am fost infectat cu virusul “locky”. Toate pozele, documentele mele au fost modificate si criptate. Cu ajutorul programului “recuva” am reusit sa le readuc numele inapoi dar nu le pot decripta. Virusul l-am luat de pe mail, mi-a fost infectat atat pc-ul cat si hdd-ul extern. Pc-ul l-am formatat insa nu-mi permit sa pierd documentele de pe hdd. Aveti vreo solutie?
    Multumesc mult.

  24. Salut.. Din pacate am urmat toti pasii facuti de tine dar din pacate nu mi se “decripteaza” fisierele.. Te rog ajuta-ma cu un raspuns la adresa de mail: [email protected]
    Mersi

  25. Eu am gasit solutia la decriptare….

  26. caesarbalro a zis

    solutie de decriptare?
    nimeni?

  27. Pacat ca nimeni nu zice solutia.. 🙂 Am pierdut 5 proiecte si sute de poze #deampla.

  28. AM SI EU POZE PE D NU PE C SI ESTE CRIPTAT, MAI POT SA LE REFAC

  29. Buna ziua,
    Decriptarea fisierelor este banala.
    NU mai este o problema atat de grava.
    Se pot recupera toate fisierele.
    O zi frumoasa!

    • Cum anume ? Vino si tu cu detalii !

    • Cum se procedeaza in cazul unui fel de virus care cripteaza continutul fisierelor de pe un calculator sau hard extern, adauga extensia ecyfaf fisierelor infectate, daca schimbi numele fisierului stergand extensia noua recunoaste tipul anterior al fisierului, dar wordurile de exemplu au un continut cifrat si ilizibil, iar pdf-urile dau eroare la deschidere?

  30. Cum se procedeaza in cazul unui fel de virus care cripteaza continutul fisierelor de pe un calculator sau hard extern, adauga extensia ecyfaf fisierelor infectate, daca schimbi numele fisierului stergand extensia noua recunoaste tipul anterior al fisierului, dar wordurile de exemplu au un continut cifrat si ilizibil, iar pdf-urile dau eroare la deschidere?

  31. Buna ziua, am si eu o problema legata de fisiere care mi-au fost criptate. Cred ca am facut o mare greseala, descarcam niste muzica si m-am trezit a doua sau a treia zi cand am deschis calculatorul, ca nu mai pot vedea nimic. Am facut si un backup al calculatorului dar degeaba. Ce este cel mai rau, este ca aveam si 3 harduri externe conectate la PC si tot ce aveam in ele este acum criptat. Muzica am putut sa o recuperez cu Format Factory, dar pozele si filmele de familie (pe care nu am cum sa le mai iau de nicaieri) nu a mers. Toate mi-au fost infectate si au extensia RUMBA file. Nu ma intereseaza restul, am formatat deja PC, ma itereseaza pozele si filmele de familie cu oamenii dragi mie. Ma poti ajuta cu un sfat? Cum pot recupera acele fisiere daca PC-ul nu mai are probleme? Multumesc, sa ai o zi minunata !

  32. Buna ziua, inca mai astept un raspuns la ceea ce am scris mai sus, la tipul de fisiere scrie” RUMBA File (.rumba) Fisierele exista toate, dar nu le pot deschide. Cele care sunt .mp3 se mai pot asculta doar in Windows mwdia playwr. Dar ce ma fac cu filmele si pozele de familie? Va rog sa ma ajutati !

  33. Buna ziua Ma numesc FERARU DAN din Timisoara si am un virus care mi-a adaugat la terminatii .SETO. Cu SHADOW EXPLORER am reusit sa recuperez numai de pe partitia C iar restul partitiilor sau hardurilor nu. Cum por reusii sa vad ce este si sa pot recupera ce este ca si la partitia C. Va multumesc din suflet pentru ajutor. Cu stima FERARU DAN

Trackbacks

  1. […] sine, nu ne poate decripta fișierele. Infecțiile de tip Crypto Troian, asemănătoare cu Locky si CryptoLocker, au ajuns si pe Android. Ransomware-ul Triada afectează telefoanele cu Android 4.4 sau mai vechi. […]

  2. […] CryptoLocker, cum dezinfectam cum prevenim si cum recuperam fisierele infectate cu ramsomware […]

Speak Your Mind

*