Salut prieteni, in tutorialul de astazi vom vorbi despre infectia de tip ransomware numita CryptoLocker. Mai exact o sa vedem cum dezinfectam un calculator infectat cu CryptoLocker, cum prevenim infectarea cu acest ransomware si cum putem recupera fisierele infectate cu CryptoLocker.
Ce face CryptoLocker ?
Asa cum va spuneam si mai sus acest tip de infectie face parte din clasa ransomware si odata infectat cu CryptoLocker acesta cauta si cripteaza fisierele din calculatorul vostru. Fisierele pe care le cripteaza acesta sunt: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c
Odata ce fisierele au fost criptate, nu veti mai putea deschide, utiliza sau vizualiza respectivele fisiere. Desi la un moment dat CryptoLocker va va oferi “sansa” (falsa) de va recupera fisierele prin plata sumei de 300 dolari sau 300 euro in schimbul carora veti primi o cheie pentru decriptarea fisierelor voastre, nu va sfatuiesc sa faceti acest lucru! Nu va garanteaza nimeni ca veti primi intr-adevar cheia de decriptare si veti ramane si fara toti banii de pe card-ul sau contul dumneavoastra bancar.
Ce fac daca m-am infectez cu CryptoLocker ?
Va recomandam sa deconectati de la calculator toate perfifericele (imprimanta, fax, stick USB, card SD, hard disk extern si alte medii de stocare), scoatei cablul de internet din placa de retea al calculatorului infectat pentru a nu raspandi infectia in retea si catre alte calculatoare conectate la aceasta. Deasemenea nu mai conectati medii de stocare amovibile (stick-uri USB, carduri de memorie sau hard disk-uri externe) la calculatorul infectat.
Cum dezinfectez un calculator infectat cu CryptoLocker ?
Metoda prin care va puteti debarasa de aceasta infectie este destul de simpla aceasta fiind prezentata detaliat in tutorialul video. Primul pas este sa intrati on Safe Mode asa cum s-a aratat in tutorialul video. Indiferent de versiunea de Windows folosita, puteti face acest lucru apasand tastele Windows + R si in casuta Run scrieti “msconfig” apoi apasati tasta Enter. In fereastra care va apare mergeti pe tabul Boot si bifati casuta Safe boot apoi click pe Apply si OK si restartati calculatorul urmand ca acesta sa intre singur in Safe Mode cand va reveni din restart.
O alta metoda prin care puteti intra in Safe Mode este sa restartati calculatorul si imediat dupa ce vedeti logo-ul producatorului placii de baza, apasati repetitiv tasta F8.
Ajunsi in Safe Mode va trebui sa accesam Registry Editor pentru a sterge intrarile pe care si le face CryptoLocker in sistemul de operare. Apasam tastele Windows + R si in casuta Run scriem “regedit” si apasam tasta Enter.
De obicei CryptoLocker va avea cateva key in urmatoarele locatii:
HKEY_CURENT_USER\Software\CryptoLocker
HKEY_CURENT_USER\Software\CryptoLocker_0388
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Dupa ce am curatat registry de intrarile CryptoLocker va trebui sa facem vizibile extensiile pentru fisiere, folderele si fisierele ascunse precum si folderele protejate de sistem. Cum se face acest lucru s-a aratat in tutorialul video.
Vom accesa folderele “C:\Users\NumeleVostruDeUtilizator\AppData\Local” precum si “C:\Users\NumeleVostruDeUtilizator\AppData\Roaming” si vom sterge orice fisier cu denumire dubioasa avand extensia .exe. De obicei executabilele folosite de CryptoLocker si alte tipuri de infectii nu au un inteles in denumirea lor, de exemplu acestea poat fi denumite “aldkkgjhoipporh.exe”
Dupa ce am terminat de facut acesti pasi va trebui sa repornim calculatorul. Cand revenim din restart descarcam si instalam Malwarebytes, il rulam si facem o scanare. Dupa finalizarea scanarii inlaturam din interfata acestuia infectiile gasite.
Cum prevenim infectarea calculatorului cu CryptoLocker ?
Pentru a preveni infectarea cu CryptoLocker este bine sa aveti un antivirus, un antimalware sau o suita de securitate cu update-urile ce contin baza de date cu semnaturile pentru virusi, la zi. Multi utilizatori stau nepasatori si linistiti doar pentru ca vad iconita unui antivirus in System tray (dreapta jos a ecranului langa ceas) fara sa se asigure ca acesta este functional sau daca si cand si-a facut ultima data update-urile ce contin semnaturile pentru virusi.
O masura in plus pentru prevenirea infectiei cu CryptoLocker este si CryptoPrevent, un mic utilitar care poate fi instalat sau poate fi folosit ca aplicatie portabila. CryptoPrevent face unele modificari in Group Policy pentru a bloca drepturile de executie a executabilelor alflate in %appdata% si %localappdata% precum si protejarea impotriva exploit-ului RLO (Right to Left Override)
Aceasta unealta trebuie folosita cu precautie caci poate bloca si un fisier legitim care se poate afla in %appdata% sau %locaappdata%. Daca se intampla ca un fisier legitim sa fie blocat, puteti deschide interfata aplicatiei CryptoPrevent si sa adaugati fisierul respectiv in White List (lista alba) o lista ce va contine fisierele adaugate de voi si care vor avea dreptul de a fi executate.
Cum recuperez fisierele criptate de CryptoLocker ?
Din pacate recuperarea fisierelor criptate de CryptoLocker nu este garantata de nici o metoda sau soft minune. Totul tine de setarile pe care le-ai avut si le ai in sistemulde operare. Daca pana sa te infectezi ai avut tot timpul System Restore si Previous Versions oprite, nu mai poti recupera fisierele criptate. System Restore si Previous Versions lasate activate va vor permite sa reveniti la o stare anterioara pe care o avea fisierul inainte ca acesta sa fi fost infectat si criptat. Puteti totusi sa utilizati Shadow Explorer pentru a afla daca in sistemul de operare exista versiuni anterioare pentru fisierele criptate. Daca veti gasi unul sau mai multe fisiere intr-o stare anterioara infectiei si doriti sa le restabiliti, faceti click dreapta pe acestea din interfata aplicatiei ShadowExplorer si alegeti din meniul contextual optiunea Export.
Pe final concluzia este una singura. UN BACKUP pe care foarte multi utilizatori evita sa il faca, v-ar fi scutitit de toate aceste batai de cap. Faceti backup macar pentru fisierele vitale pentru voi, pastrati copii ale acestora chiar si in 10 locatii diferite daca este nevoie caci nu se stie niciodata cum le poti pierde, fie printr-o infectie urata de genul CryptoLocker, fie printr-un dezastru natural (calamitate), furt sau pur si simplu iti cedeaza hard disk-ul intr-o zi. Exista SUTE de solutii gratuite pentru backup, avem o gramada de tutoriale legate de acest subiect indiferent ca doriti sa salvati backup-urile local sau in servicii cloud.
View Comments (50)
In tutorial zici ca tot ce se afla in partitia c cu extensia mentionata sunt infectate(criptate) cu criptolocker ,pai daca am toate fisierele,folderele personale(poze etc.) in alta partitie mai poate sa le infecteze si pe acestea.? Atunci ar mult mai usor de rezolvat problema .
Iti propun sa te uiti la tutorial cu mai multa atentie si fara sa mai derulezi!
Nu am spus sa stergi tot ce se afla in partitia C sau ca tot ce se afla in partitia C cu extensia .exe trebuie sters. Trebuie sa stergi doar ce se afla in locatiile mentionate in tutorial, in cele doua foldere ascunse (asa cum s-a mentionat si in textul de deasupra tutorialului pe care iti recomand sa il citesti)
Fisierele infectate si criptate nu au extensia .exe!
Procesul de dezinfectare consta in eliminarea registrilor si a unor executabile (folosite de CryptoLocker) cu denumire aleatorie aflate in cele doua locatii mentionate in tutorial
Daca voi derulati tutorialul si nu cititi textul de deasupra acestuia in intregime din comoditate sau what ever, nu mai este problema mea! Ddaca nu vrei sa intelegi, sa vizionezi si sa ai rabdare sa digeri toata informatie, inseamna ca nu-ti trebuie, nu vrei si drept urmare n-am de ce sa explic pe comentarii aceleasi lucruri explicate deja intr-un tutorial de peste 30 de minute si cateva randuri bune de text scrise deasupra acestuia.
Din vina si ignoranta voastra tot eu cad ala arogant-ul.
Adrian stii cumva dacă acele foldere criptate se pot deschide cu linux ?
Nene eu nu te-am intrebat daca trebuie sters tot din partita c eu cred ca am vorbit destul de clar ,am scris cumva in lb.chineza? Am intrebat daca am un document , o poza sau orice altceva cu extensiile mai sus mentionate, in alta partitie alta decat C risca sa fie infectate(criptate) cu crytolocker DA or BA daca nu atunci nu faci altceva decat dezinfectare eventual un restore sau ce vrei tu sa-i faci .In tutorial ai zis ca tot ce se afla in partita C cu extensia mentionata sunt criptate sau nu mai sti ce-ai zis.,! Si inca ceva , sa sti ca n-am derulat nici-o secunda......nene!
In mod normal, daca cel care scrie malware-ul vrea sa-ti acceseze si alte locatii de stocare, si nivelul de securitate din sistemul de operare este low, poate accesa toate partitiile.
Cel mai bine este sa sufli si-n iaurt...
Tutorialul lui Adrian este destul de clar si daca aplici logica poti trage si alte concluzii.
Comportamenul malware-ului este greu de intuit, acesta se poate schimba de la o zi la alta, de la un sistem la altul. Acum depinde cine l-a scris si ce intentii ascunse are.
Repet.
Cand vorbim de virusi, spyware, ramsomware, etc, comportamenul acestora nu poate fi incadrat foarte clar. Azi iti afecteaza doar o partitie, maine toate partitiile.
Cristi eu te vad un om destul de inteligent, lui colegul tau ia fost greu sa dea un raspuns cel putn asemanator ca tine.??el tot timpul zice sa nu mai derulam in loc sa dea un raspuns la intrebare.
Cat despre baietasul cu mucii in freza de mai jos ii transmit doar atat ca nu stau de vorba cu sugarii.
Mai muce, nu ajunge ca esti cam incet la cap esti si impertinent. Vorba aia: ”prostul nu-i destul de prost daca nu e si fudul”!
un soft pentru decriptarea fișierelor infectate nu există?și dacă da ar dura mult pe un pc normal decriptarea?
Interesant tutorialul si util.
Daca se poate sa faceti un tutorial, despre android si anume cum as putea sa reinstalez android 4.04(acesta vine by default) pe un samsung galaxy tab 2 P3100, dupa un update la 4.1.3. (restaurarea cu optiunea default la setarile by factory, nu fac altceva decat sa pastreze 4.1.3 si sa stearga doar softurile, in cazul meu). Multumesc!
rezolvarea cea mai simpla fara batai de cap este sa instalezi prima data sisrestore dupa un proaspat instal de windows si de fiecare data cand aveti probleme folositi sisrestore care buteaza primul la pornirea windowsului si ati scapat foarte simplu . al descarcacati de aici »»»http://www.sysnew.com/download.html .bafta
Comentariul meu s-a pierdut in neant....
Nu s-a pierdut in neant, l-am sters eu si probabil s-a dus in neant. De fapt este tot pe disk in data center, doar intrarea a foat stearsa, daca.............
Sa revenim....
Va rog sa nu mai lasati link-uri care fac trimitere spre anumite site-uri care nu pot fi verificate prea usor. Aceste site-uri pot contine malware pe alte pagini.
Puneti-va in locul nostru, nu ne putem petrece cate 10-20 de minute pentru verificarea unui site, doar asa ca cineva a poatat un link.
Daca vorbim despre site-uri cunoscute, serioase, pe care nici acum si nici in viitor nu vor fi problem, e ok insa pentru site-uri obscure....
Vrem sa pastram acest loc (videotutorial.ro) curat, curat inseamna ca aici nu este malware si niciun link de aici nu trimite spre un site unde poate fi malware.
De aceea videotutorial.ro nu face si nu va face link exchange cu niciun website, chiar daca asta ne-ar fi adus beneficii.
Increderea este greu de castigat si foarte usor de pierdut!
Salut Cristi cum as pute copia un windows 7 professional original de la microsoft de pe acest link http://msdn.microsoft.com/subscriptions/downloads/hh442898#searchTerm=Windows%207%20Professional&ProductFamilyId=0&Languages=en&PageSize=10&PageIndex=0&FileId=0,
am incercat de citeva ori si nu se primeste nu stiu ce subscrib le trebuie ca m-am saturat de ei?! Daca e posibil un tutorial pe asa tema ...
la mine acuma 5 min , a aparut un pop-up cica " da la politie " .com pt. descarcara ilegala si trebuie sa platesc 300ron prin paysafecard .Interesant , bine ca eram in mediu virtual :)
Salut Cristi......De cateva luni am luat ceva in calc si la majoritatea pozelor pe care le am,(nu sunt in partitie C) imi apare in loc de fotografie Dirty Decrypt.......Exista vreo rezolvare pentru aceasta problema?........Multumesc mult!
Am si eu o problema cu calculatorul meu daca ma puteti ajuta.calc meu este un intel core i3-21003.10 ghz cpu integrat box lga1155 placa de baza asrock h61m-s skt1155 placa video pl asus ati radeon hd5450 1024mb ddr3 64bit. problema este atunci cand aprind calculatorul nu porneste ci se tot restarteaza iar culerul de pe procesor porneste si se opreste porneste si se opreste si tot asa. iar daca am tot scos cablurile de la hard si cd rw sau am scos placuta de rami si am introduso iar in cele din urma porneste dar daca dau un restart porneste calc dar nu mai merge placa video doar cu placa video incorporata in calu iar daca las mai multe ore cand il pornesc din nou mai greu porneste cu placa video externa dar daca dau din nou un restart nu mai merge doar cu placa video incorporata. Am schimbat sursa si acum porneste calculatorul bine doar ca cu placa video e la fel ca inainte merge doar cand il aprind dar dupa restart sau daca il sting si il aprind din nou nu mai merge placa video doar ce incorporata in placa de baza. sper sa ma puteti ajuta cu o idee am facut si update la bios dar nimik . va multumesc